DSGVO im Kontext von Managed Services – Sicherheit beginnt beim Datenschutz

Kaum ein anderes Regelwerk hat die Unternehmens-IT in den letzten Jahren so nachhaltig geprägt wie die Datenschutz-Grundverordnung (DSGVO). Seit ihrem Inkrafttreten im Mai 2018 bestimmt sie, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen – und das mit weitreichenden Folgen für alle Organisationen, die IT-Services nutzen oder bereitstellen.

Gerade im Umfeld von Managed Services ist die DSGVO ein ständiger Begleiter. Wenn ein Unternehmen Teile seiner IT auslagert, vertraut es nicht nur auf das technische Know-how des Dienstleisters, sondern übergibt auch Verantwortung für sensible Informationen. Kundendaten, Mitarbeiterdaten, Finanzdaten – alles hochgradig schützenswert.
Die Frage ist also, wie sich dieses Vertrauen in rechtssichere Bahnen lenken lässt.

Verantwortung bleibt beim Unternehmen – der MSP wird Auftragsverarbeiter

Eines der Kernprinzipien der DSGVO lautet: Verantwortung kann nicht abgegeben werden.
Auch wenn ein externer Partner IT-Systeme betreut, bleibt das Unternehmen selbst der „Verantwortliche“ im Sinne der Verordnung. Der Managed Service Provider (MSP) nimmt die Rolle des „Auftragsverarbeiters“ ein. Er handelt ausschließlich nach Weisung seines Kunden und ist verpflichtet, alle datenschutzrechtlichen Vorgaben einzuhalten.

Das klingt auf den ersten Blick simpel, erfordert in der Praxis aber klare Regeln und gelebte Prozesse. Und genau hier setzt das Herzstück der Zusammenarbeit an: der Auftragsverarbeitungsvertrag (AVV). Ohne diesen Vertrag ist die Auslagerung personenbezogener Daten unzulässig.

Im AVV wird genau definiert:

  • welche Daten verarbeitet werden dürfen,
  • zu welchem Zweck dies geschieht,
  • welche technischen und organisatorischen Maßnahmen der MSP ergreift,
  • wie lange die Daten gespeichert bleiben,
  • und wie nach Ende des Vertrags mit den Daten verfahren wird.

Ergänzt wird das Ganze durch Kontrollrechte des Auftraggebers: Dieser darf sich jederzeit davon überzeugen, dass der MSP seine Verpflichtungen einhält, sei es durch Auditberichte, Zertifikate oder sogar Vor-Ort-Prüfungen.

Technische und organisatorische Maßnahmen – die Praxis hinter dem Papier

Die DSGVO bleibt nicht auf der vertraglichen Ebene stehen. Sie fordert, dass konkrete Schutzmaßnahmen implementiert werden. Für Managed Service Provider heißt das: Sie müssen ein Bündel aus technischen und organisatorischen Maßnahmen (TOMs) schnüren, das zu den Risiken der verarbeiteten Daten passt.

Dazu gehören unter anderem:

  • Verschlüsselung von Daten bei Speicherung und Übertragung,
  • Zugriffskontrollen mit klar geregelten Berechtigungen,
  • Protokollierung und Monitoring sämtlicher Zugriffe,
  • Backups und Notfallpläne, um Datenverluste abzufangen,
  • regelmäßige Schulungen der Mitarbeitenden,
  • und die Verpflichtung zur Vertraulichkeit für alle, die Zugriff auf personenbezogene Daten haben.

Viele dieser Punkte überschneiden sich mit den Anforderungen aus ISO/IEC 27001, denn Datenschutz und Informationssicherheit sind zwei Seiten derselben Medaille. Während die DSGVO den rechtlichen Rahmen vorgibt, sorgt die ISO-Norm für die organisatorische und technische Struktur dahinter.

Kernprinzipien, Rechte und Reichweite der DSGVO

Die DSGVO verpflichtet Unternehmen zu Datenminimierung, Zweckbindung und Privacy by Design/Default, also zu Lösungen, bei denen Datenschutz von Beginn an im Fokus steht. Betroffene haben eine Vielzahl an Rechten (u. a. Auskunft, Löschung und Datenübertragbarkeit); Verantwortliche und ihre Auftragsverarbeiter müssen diese proaktiv unterstützen, etwa indem sie Lösch- oder Exportanforderungen zügig technisch umsetzen.

Die Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten (grundsätzlich binnen 72 Stunden) bleibt dabei ein zentraler Taktgeber für Prozesse und Alarmketten. Die Verordnung wirkt exterritorial: Auch Anbieter außerhalb der EU fallen darunter, wenn sie Daten von Personen im EWR verarbeiten oder diese adressieren.

Für MSP bedeutet das konkret: AVV mit klaren Weisungen, TOMs wie Verschlüsselung, Pseudonymisierung und Zugriffskonzepte, geschulte Teams, belastbare Nachweise (Protokolle, Auditreports) und laufendes Monitoring, damit der Auftraggeber seine Rechenschaftspflicht erfüllen und Betroffenenrechte fristgerecht bedienen kann.

Datenstandort – ein oft unterschätzter Faktor

Besonders heikel wird es, wenn Daten die europäischen Grenzen verlassen. Seit dem Wegfall des „Privacy Shield“-Abkommens mit den USA ist klar: Datenübermittlungen in Drittstaaten sind nur unter strengen Voraussetzungen erlaubt. US-Cloud-Anbieter unterliegen etwa dem Cloud Act, der amerikanischen Behörden den Zugriff auf gespeicherte Daten ermöglichen kann, auch wenn diese physisch in Europa liegen.

Für Unternehmen, die auf Nummer sicher gehen wollen, bedeutet das: Hosting in europäischen Rechenzentren.
Nur so bleiben die Daten im Geltungsbereich der DSGVO, und komplexe Vertragskonstrukte werden überflüssig.

Meldepflichten und Krisenmanagement

Selbst die modernsten und am weitesten entwickelten Sicherheitsmaßnahmen können Vorfälle nicht immer gänzlich verhindern. Entscheidend ist dann, wie schnell und professionell reagiert wird. Die DSGVO schreibt vor, dass Datenschutzverletzungen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden müssen, sofern ein Risiko für die Betroffenen besteht.

Ein Managed Service Provider ist daher verpflichtet, seinen Kunden unverzüglich über Sicherheitsvorfälle zu informieren. In gut strukturierten Verträgen ist das klar geregelt – von den Kommunikationswegen über die Eskalationsstufen bis hin zu Verantwortlichkeiten.

Der Vorteil liegt hierbei auf der Hand: Unternehmen können darauf vertrauen, dass ihr MSP nicht nur Systeme überwacht, sondern im Ernstfall auch sofort handelt – mit Backups, Wiederanlaufplänen und transparenter Kommunikation.

Bußgelder und Haftung – wenn es teuer wird

Die DSGVO ist berüchtigt für ihre drastischen Sanktionen. Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes können im schlimmsten Fall verhängt werden. Auch wenn solche Höchststrafen selten sind: Bereits mittlere fünfstellige Beträge können für kleinere Unternehmen existenzbedrohend sein.

Verantwortlicher und Auftragsverarbeiter haften gemeinsam. Das bedeutet, dass Betroffene ihren Schadensersatz sowohl vom Unternehmen als auch vom MSP einfordern können. Interne Vereinbarungen zur Kostenaufteilung helfen zwar im Verhältnis zwischen Kunde und Dienstleister, gegenüber den Betroffenen bleibt die gemeinsame Haftung jedoch bestehen.

Umso wichtiger ist es, sich für einen Partner zu entscheiden, der nicht nur gesetzliche Mindeststandards erfüllt, sondern durch Zertifizierungen, transparente Prozesse und eine gelebte Sicherheitskultur beweist, dass er die Verantwortung ernst nimmt.

DSGVO als Chance statt Bürde

Auch wenn sie oft als lästige Pflicht wahrgenommen wird: Die DSGVO kann zum Wettbewerbsvorteil werden. Unternehmen, die ihre Datenverarbeitung transparent gestalten und klar dokumentieren, gewinnen das Vertrauen von Kunden, Partnern und Mitarbeitenden.

Ein Managed Service Provider mit starker Datenschutzkompetenz wird damit zum Enabler: Er hilft Unternehmen nicht nur, Risiken zu minimieren, sondern auch Compliance als Qualitätsmerkmal zu nutzen. In einer Zeit, in der Datenschutz immer stärker ins öffentliche Bewusstsein rückt, kann das ein entscheidender Differenzierungsfaktor sein.

PRODATO – Managed Services mit Datenschutz-DNA

Bei PRODATO ist Datenschutz kein Zusatz, sondern Teil des Selbstverständnisses. Unsere Managed Services werden konsequent DSGVO-konform betrieben, ergänzt durch unsere ISO/IEC 27001:2022-Zertifizierung. Das bedeutet für unsere Kunden:

  • Hosting in europäischen Rechenzentren,
  • individuell abgestimmte Auftragsverarbeitungsverträge,
  • erprobte technische und organisatorische Maßnahmen,
  • und ein gelebtes Sicherheits- und Datenschutzmanagement.

Wir verstehen die DSGVO nicht als Bremse, sondern als Rahmen, der Sicherheit schafft. Unsere Kunden profitieren von IT-Services, die rechtlich wie technisch auf der sicheren Seite stehen und können sich so voll und ganz auf ihr Kerngeschäft konzentrieren.

Fazit – Datenschutz als Basis für Vertrauen

Managed Services und DSGVO – das klingt nach bürokratischem Spagat, ist in Wirklichkeit aber eine Symbiose. Wer heute Daten und IT-Prozesse auslagert, kann das nur mit einem Partner, der Datenschutz ernst nimmt. Die DSGVO sorgt für klare Verantwortlichkeiten und schärft das Bewusstsein für Risiken. Managed Service Provider übersetzen diese Regeln in gelebte Praxis – mit Technik, Prozessen und Kultur.

Autor
Andreas Höfler

Werkstudent

Andreas Höfler

Ansprechpartner Managed Service
Markus Geiser

Sales Manager

Markus Geiser

Über PRODATO

Gemeinsam mit unseren Kunden erarbeiten wir nachhaltige, anpassungsfähige und effizienzsteigernde Lösungen auf Basis vielfach erprobter Methoden und unter Einsatz modernster Technologien. Dabei setzen wir auf passgenaue, an die spezifischen Kundenbedürfnisse angepasste Lösungen, unabhängig von Tool und Hersteller.