Unter "Outsourcing" wird das Verlagern von Prozessen oder Tätigkeiten an Stellen außerhalb des Unternehmens verstanden. Werden Daten dazu an Dritte herausgegeben, so sollte schon bei der Auswahl der Partnerunternehmen auf einen ausreichenden Datenschutz geachtet werden. Zudem sollte schriftlich geregelt sein, wie mit den übergebenen Daten verfahren wird. Hierzu zählen z. B. auch Geheimhaltungsverpflichtungen, ggf. mit vereinbarter Vertragsstrafe.
Problematisch werden die Punkte, die oftmals "vergessen" werden, wie z. B. wo lagern die Daten, nutzt das Partnerunternehmen evtl. selbst wiederum Dienstleister, hält das Partnerunternehmen die Vorschriften der DSGVO / des BDSG ein etc.
Datenschutz vereinbaren
In Bezug auf den Umgang mit personenbezogenen Daten sollte mit dem externen Dienstleister vereinbart werden, dass die Daten gemäß den aktuellen Datenschutzvorschriften behandelt werden.
Diese Vereinbarung kann an einen Vertrag zwischen Verantwortlichem und Auftragsverarbeiter angelehnt werden (Art. 28 und 29 DSGVO).
Genau informieren
Vor Vertragsschluss sollte überprüft werden, wo und wie die Daten verarbeitet und gespeichert werden. Am besten werden Anbieter genutzt, die die Daten in europäischen Ländern speichern. Andere Länder wie die Schweiz, Argentinien, Japan, Kanada und Großbritannien (bis 2025 wg. des Brexits) zählen ebenfalls zu den sicheren Drittstaaten. Ein aktueller Status, welche Länder dazu zählen, sollte bei der EU-Kommission überprüft werden.
Link zur Pressemitteilung der EU-Kommission, Stand 15.01.2024
Dies sollte bei Apps und Co. beachtet werden:
Smartphones und Tablets, die Android oder das Applebetriebssystem iOS nutzen, arbeiten mit Apps. Diese Software läuft zwar auf dem jeweiligen Gerät, nutzt und übermittelt aber häufig Daten an Dritte – z. B. das Unternehmen, das die App anbietet. Dabei werden z. B. Zugangsdaten oder der aktuelle Standort weitergegeben. Beim Speichern von Dateien, wie Kontaktdaten oder Fotos werden diese immer öfter nicht auf dem Endgerät selbst, sondern in der Datencloud des jeweiligen Unternehmen gespeichert. Das gilt auch für Office Software, etwa bei Nutzung von Microsoft One Cloud.
Daher sollte Teil der Unternehmens-Policy an dieser Stelle sein, zu überprüfen, ob auf Open Source-Lösungen ausgewichen wird. Open-Source-Anwendungen geben einerseits weniger Daten weiter, da sie von kleineren Zusammenschlüssen von Programmierern oder spendenbasierten Unternehmen stammen. Andererseits bedeutet "Open Source", dass der Programmcode der App offen zugänglich ist, sodass die Sicherheit der Software unabhängig überprüft werden kann. Häufig ist Open Source auch kostenlos oder sehr viel günstiger als die Abo-Modelle der Technologie-Großkonzerne.
Bei proprietärer Software – z. B. von Google, Meta, Apple oder Microsoft – muss das Unternehmen, das diese Software einsetzt, den Datenschutzrichtlinien des jeweiligen Technologie-Konzerns vertrauen, da der Code nicht offen liegt.