Datenschutz = Dienstleister-Management

Wenn Ihr Unternehmen Aufträge an Dienstleister vergibt, in deren Zusammenhang der Kontakt mit personenbezogene Daten im Verantwortlichkeitsbereich Ihres Hauses nicht ausgeschlossen werden kann oder der Umgang mit den Daten sogar der Auftragsgegenstand ist, empfiehlt es sich ein paar wichtige, haftungsrelevante Punkte zu beachten.

Dienstleistungsbereiche, auf welche dies zutrifft, können u.a. sein: IT Aufgaben (Support, technische Wartung, Installation, Telefonanlagensupport, etc.), Lettershop, Internetagenturen, CallCenter, Aktenvernichter

Die Verarbeitung personenbezogener Daten ist durch klare Vorgaben des Bundesdatenschutzgesetzes reglementiert, welche für jedes Unternehmen gelten, das selbst personenbezogene Daten verarbeitet oder die Verarbeitung dieser Daten an Dritte auslagert und die durch Bußgelde geahndet werden können, wenn Sie nicht erfüllt wurden.
Ein stringentes Management der betroffenen Datenverarbeitungsverfahren ist daher erforderlich.

Die Auslagerung von verschiedenen Dienstleistungen im datenverarbeitenden Bereich ist heutzutage quer durch alle Wirtschaftsbereiche verbreitet. Der Umfang alleine nur ausgelagerter und am Markt angebotener IT-Dienste reicht von IT-Infrastrukturdienstleistungen über sogenannte Managed Services, bei denen beispielsweise Dienste wie digitale Rechnungen von einem Anbieter erbracht werden, bis hin zu Cloud Computing-Services, die unterschiedlichste Inhalte haben können.

Wann immer ein Unternehmen solche Aufträge vergibt, ist im Vorfeld zu prüfen, inwieweit auch personenbezogene Daten durch den Dienstleister verarbeitet werden könnten. Der Gesetzgeber gibt dem auslagernden Unternehmen hierbei strenge Auflagen mit auf den Weg.

Auch bleibt das Unternehmen selbst immer gegenüber den Betroffenen (d.h. den Personen, von denen personenbezogene Daten verarbeitet werden, wie z.B. eigene Kunden oder Beschäftigte, verantwortlich.

Um solche Dienstleistungen überhaupt rechtlich korrekt beauftragen zu können, muss meist eine Vereinbarung zur Auftragsdatenverarbeitung  (ADV) zwischen Unternehmen und Dienstleister geschlossen werden.

Diese Vereinbarung ist im Grunde eine Ergänzung um Dienst- oder Werksvertrag, die mit dem Fokus auf die zu verarbeitenden Daten geschlossen wird und klar regelt, wie der Dienstleister damit umgehen darf.

Das Fehlen eines Konzernbegriffs im geltenden Datenschutzrecht führt darüber hinaus dazu, dass selbst bei gesellschaftlich eng verbundenen Unternehmen diese Datenschutz-Vorgaben zu beachten sind; wenn beispielsweise eine Konzerngesellschaft zentral für andere Konzernteile IT-Dienstleistungen erbringt, wird in der Regel eine solche Vereinbarung zu schließen sein.

Praxistipp: Überprüfen Sie Ihre internen Datenverarbeitungsverfahren regelmäßig im Hinblick auf die Verarbeitung personenbezogener Daten und potentielle Weitergaben an Dienstleister.

Diese Vereinbarung kann auch nicht „blind“ geschlossen werden. Vielmehr müssen Sie als beauftragendes Unternehmen nachweisen können, dass Sie Ihre Dienstleister in Bezug auf die vorliegende Aufgabe auf „Tauglichkeit“ geprüft haben. Art, Umfang und Detailtiefe solcher Überprüfungen hängen von der Art der Dienstleistung, der Art der personenbezogenen Daten und weiteren Faktoren ab, die Auswirkungen auf die Fragestellung haben, was im jeweils konkreten Fall angemessen ist.  Die Vereinbarung  selbst muss etwaige Besonderheiten Ihrer Zusammenarbeit ebenfalls angemessen regeln.

Für Sie als Unternehmer stellt sich daher die Frage, wie sie den Anforderungen aus dem Bundesdatenschutzgesetz mit überschaubarem Aufwand und zukunftsgerichtet gerecht werden. Und wie Sie die erforderlichen Maßnahmen in die Regel-Abläufe des eigenen (IT-)Betriebs effizient integrieren können.

Praxistipp: Bestehen Sie bei Dienstleistungsverträgen mit Kontakt zu personenbezogenen Daten Ihres Hauses immer auf ein Auditrecht beim Dienstleister. Als Auftraggeber müssen Sie der sog. “Herr der Daten” bleiben. Denn Sie sind gegenüber den Betroffenen im Zweifel rechenschaftspflichtig und müssen Nachweise entlang der gesamten Wertschöpfungskette führen können – in Ihrem eigenen Betrieb sowie einschließlich solcher Teil-Dienstleistungen, die durch von Ihnen beauftragte Dienstleister erbracht werden!

Im eigenen Interesse ist somit jedes Unternehmen gut beraten, bei der Vergabe entsprechender Aufträge die gesetzlich geforderte Sorgfaltspflicht ernst zu nehmen und aktiv seine Auftragnehmer zu steuern. Erste Sorgfaltspflicht ist dabei die initiale und später regelmäßige Überprüfung der Abläufe beim Auftragnehmer.

Diese Prüfungen können mit eigenen Ressourcen organisiert werden oder durch die Beauftragung von qualifizierten Prüfern.

Im Rahmen solcher Prüfungen können anhand praxiserprobter Auditpläne objektiv die Abläufe beim Dienstleister überprüft und auch etwaige Verbesserungsvorschläge aufgezeigt werden. Die Auftraggeber kommen damit Ihrer Kontrollpflicht nach Bundesdatenschutzgesetz nach, schaffen sich aber auch eine solide Basis zur Beurteilung der Güte Ihres Dienstleisters.

Hier ist es wirklich empfehlenswert,  kompetente Unterstützung von erfahrenen Datenschutz- und IT-Sicherheitsexperten in Anspruch zu nehmen, um zum einen die Effizienz sicherzustellen und zum anderen  Fehler bei der Begründung und Ausgestaltung der Dienstleistungsverhältnisse zu vermeiden.

Bußgelder bei fehlerhaftem Umgang mit personenbezogenen Daten sind empfindlich und können auch wirtschaftlich gesunde Unternehmen hart treffen. Ein potentieller Rufschaden, durch Untauglichkeit des Dienstleisters oder Missverständnisse in der Auftragsdefinition fiele ebenfalls eher Ihrem Unternehmen zu und nicht dem verursachenden Dienstleister.

Verglichen mit möglichen Konsequenzen bei ungenügender Dienstleisterauswahl sind die Kosten für das vernünftige Aufsetzen der Zusammenarbeit moderat.

Zudem fördert eine vernünftige Umsetzung der gesetzlichen Erfordernisse der Erfahrung nach sehr oft auch die Professionalisierung der umliegenden Prozesse – sowohl in Ihrem Unternehmen, als auch in Bezug auf die Zusammenarbeit mit Ihren Dienstleistern.

Wir unterstützen Sie umfassend bei allen Fragestellungen rund um die Auslagerung von Datenverarbeitungen, bei denen personenbezogene Daten verarbeitet werden.