Nearshoring & DSGVO: Was Unternehmen wirklich wissen müssen

NEARSHORING & DSGVO: WAS UNTERNEHMEN WIRKLICH WISSEN MÜSSEN Von Alexey Subbotin, Geschäftsführer BASTIONUM IT Hub «Darf ich überhaupt Daten an Entwickler außerhalb der EU weitergeben?» — Die Frage, die jedes Nearshoring-Gespräch in Deutschland innerhalb von 60 Sekunden erreicht. Ich führe jede Woche Gespräche mit CTOs und IT-Leitern aus dem DACH-Raum. Sobald das Wort «Nearshoring» fällt, kommt sofort die DSGVO auf den Tisch. Die Sorge ist verständlich — die Bußgelder sind real, die Medienberichte abschreckend. Aber in den meisten Fällen basiert die Angst auf einem Missverständnis. Und dieses Missverständnis kostet deutsche Unternehmen Millionen — nicht an Bußgeldern, sondern an verpassten Chancen. 1. Das Missverständnis: Die DSGVO verbietet Nearshoring nicht Die meisten Entscheider haben eines dieser Bilder im Kopf: ✘ «Daten dürfen die EU nicht verlassen» ✘ «Entwickler außerhalb der EU dürfen keinen Zugriff auf unsere Systeme haben» ✘ «Nearshoring ist ein DSGVO-Verstoß» Nichts davon stimmt. Die DSGVO verbietet nicht die Zusammenarbeit mit Teams außerhalb der EU. Sie regelt, wie diese Zusammenarbeit rechtlich abgesichert werden muss. Der Unterschied ist entscheidend. Artikel 28 DSGVO definiert die «Auftragsverarbeitung» — das ist der rechtliche Rahmen, wenn ein externer Dienstleister im Auftrag eines Unternehmens personenbezogene Daten verarbeitet. Die DSGVO sagt nicht «Nein». Sie sagt «So geht es richtig.» 2. Der rechtliche Rahmen: 4 Bausteine DSGVO-konformes Nearshoring steht auf vier Säulen: Baustein 1: Auftragsverarbeitungsvertrag (AVV) Gemäß Art. 28 DSGVO muss zwischen dem Auftraggeber und dem Auftragsverarbeiter ein AVV geschlossen werden. Baustein 2: Technische und organisatorische Maßnahmen (TOMs) Verschlüsselung aller Daten, Zugriffskontrolle, MFA, Audit Logs, physische Sicherheit. Baustein 3: Standardvertragsklauseln (SCCs) Für Datentransfers in Drittländer sind SCCs gem. Art. 46 DSGVO erforderlich. Baustein 4: Transfer Impact Assessment (TIA) Seit dem Schrems-II-Urteil müssen Unternehmen eine Risikobewertung durchführen. 3. Checkliste: 8 Punkte für DSGVO-konformes Nearshoring ✔ 1. AVV abschließen — gem. Art. 28 DSGVO ✔ 2. SCCs unterzeichnen — Modul 2 (Controller-to-Processor) ✔ 3. TIA durchführen — Bewertung der Rechtslage im Drittland ✔ 4. TOMs dokumentieren — Verschlüsselung, Zugriffskontrolle, MFA, Audit Logs ✔ 5. Datenzugriff begrenzen — Need-to-know-Prinzip ✔ 6. Verschlüsselung sicherstellen — AES-256 at rest, TLS 1.3 in transit ✔ 7. Vertrag mit deutscher GmbH — deutsches Recht, deutscher Gerichtsstand ✔ 8. Regelmäßige Audits — jährliche Überprüfung der TOMs Wenn alle 8 Punkte erfüllt sind, ist Ihr Nearshoring-Modell DSGVO-konform. Punkt. 4. Das Modell, das funktioniert: Deutsche GmbH als Schutzschild Der einfachste Weg, DSGVO-Komplexität zu minimieren, ist eine Struktur, bei der Ihr Unternehmen ausschließlich mit einer deutschen GmbH zusammenarbeitet. Was das für Sie bedeutet: ▸ Ein Vertrag mit einer deutschen Gesellschaft ▸ Ein Gerichtsstand in Deutschland ▸ Ein Ansprechpartner auf Deutsch ▸ AVV, SCCs, TIA werden von der GmbH bereitgestellt ▸ Ihr Datenschutzbeauftragter muss nur die GmbH prüfen Fazit DSGVO und Nearshoring sind kein Widerspruch. Sie sind eine Frage der Struktur. DSGVO ist kein Hindernis für Nearshoring. Es ist ein Qualitätsmerkmal. Wer es richtig macht, hat einen Wettbewerbsvorteil gegenüber allen, die es nicht tun.