4 Maßnahmen für CIOs
Neues Datenschutzrecht kollidiert mit IT-Outsourcing
Vier Punkte, die CIOs beachten sollten
Bei allen Risiken bietet das neue Datenschutzrecht jedoch auch Chancen. Diese Punkte sollten CIOs beachten:
-
1. Nutzung eines einheitlichen Vertragsmusters für Neuverträge: Das Muster muss den vom Gesetzgeber vorgeschriebenen Zehn-Punkte-Plan beinhalten. Ein einheitliches Vertragsmuster erleichtert der IT-Governance-Abteilung und dem betrieblichen Datenschutzbeauftragten die Arbeit und schafft für den Fall der Fälle eine auch bei Datenschutzbehörden vorzeigbare Dokumentationslage. Die Erfahrung zeigt zudem: Müssen jahrelang praktizierte Prozesse dokumentiert werden, ergeben sich häufig Ansatzpunkte für Einsparungen.
-
2. Anpassung von Altverträgen: Auch bereits bestehende Verträge müssen angepasst werden. Das kann der CIO zum Anlass nehmen, die Preise neu zu verhandeln. Ansatzpunkte bieten sich z. B. bei der Auslagerung von Leistungen in Offshore-Regionen oder der Umsetzung von Cloud-Computing-Konzepten. Grund: Der Auftraggeber kann sich das letzte Wort darüber vorbehalten, welche Subunternehmer der Dienstleister einschalten darf. Will der Dienstleister durch Rechenzentren in Billiglohnländern Kosten reduzieren, kann der Kunde durchaus mitsparen.
-
3. Auditierung von Dienstleistern: Das auftraggebende Unternehmen muss nach dem Gesetz vor Beginn des Outsourcings "und sodann regelmäßig" kontrollieren, ob der Dienstleister seinen Pflichten ordnungsgemäß nachkommt. Solche Überprüfungen sind zwar aufwändig, für den IT-Dienstleister aber – ähnlich wie ein Preisbenchmark – auch enorm lästig. Wer genauer hinschaut, findet häufig Versäumnisse, die sich - z.B. über bestehende Service Level Agreements - in eine Reduzierung der Vergütung ummünzen lassen. Wie so oft gilt auch hier, dass die Drohung manchmal stärker sein kann als die Ausführung: Schon die Ankündigung eines Audits kann dazu führen, dass der IT-Dienstleister von sich aus Preisminderungen anbietet, z.B. über eine Anpassung von Service Level Agreements.
-
4. Nutzung von Datenschutz als Marketinginstrument: Aus Angst vor "Datenschutzskandalen" achten Kunden heute immer häufiger darauf, dass auch Lieferanten datenschutzkonform arbeiten. Wer hier auf lückenlose Datenschutz-Compliance verweisen kann, hat Wettbewerbsvorteile.
Jens Nebel ist Rechtsanwalt in der Essener Kanzlei Kümmerlein, Simon & Partner Rechtsanwälte