Mittwoch, 03.12.2014
IT-Sicherheitszentrale: Auch für IT-Outsourcing drohen gefahren durch Hacker.

Foto: Symantec

IT-Sicherheitszentrale: Auch für IT-Outsourcing drohen Gefahren durch Hacker.

Recht & Steuern
Anforderungen an die Auftragsdatenverarbeitung

IT-Outsourcing: Zwischen Entlastung und Risiko

Das IT-Outsourcing erfreut sich wachsender Beliebtheit. Zugleich bedeutet es aber auch, dass das outsourcende Unternehmen seine Daten praktisch aus der Hand gibt. So gelingt der Spagat zwischen Entlastung und Risiko.

Susanne Klein, LL.M. ist Fachanwältin für Informationstechnologierecht und Rechtsanwältin bei Göhmann Rechtsanwälte in Hannover

Ganze Arbeitsabläufe werden von IT gesteuert, Papierdokumente weichen elektronischen Nachfolgern, ehemals handangefertigte Listen finden sich in spezialisierten Datenbanken wieder. Und allzu oft bildet eine funktionierende IT in einem Unternehmen die Basis für ein erfolgreiches Arbeiten.

Nicht selten führen aber allein die Erhebung und Verarbeitung von Daten sowie die Verwaltung und Wartung der IT zu einem erheblichen Arbeitsaufwand, der viel Zeit und Geld kostet und vor allem das notwendige Know-how der Mitarbeiter erfordert. Aus diesem Grund gehen immer mehr Unternehmen dazu über, diese Aufgaben auszugliedern und auf einen externen Dienstleister zu übertragen.

Risiko: Datenskandal

In letzter Zeit lassen jedoch immer größere Datenskandale die Öffentlichkeit aufhorchen und führen zur Sensibilisierung von Kunden und Mitarbeitern im Hinblick auf die Erfassung und Verwendung ihrer Daten.

Dabei bestehen solche Zwischenfälle vor allem in dem Verlust oder der missbräuchlichen Verwendung von personenbezogenen Daten, was zuweilen auf kriminelle Energie zurückzuführen sein kann, in den meisten Fällen aber auf einer schlichten Unachtsamkeit im Umgang mit den anvertrauten Daten beruht.

Regelmäßig führt ein solcher Datenskandal zu einem Imageschaden beim betroffenen Unternehmen, was auch finanzielle Auswirkungen haben kann. Um dies zu vermeiden, sollten Unternehmen folgende Regeln beachten:

Grundsätze einer sicheren Auftragsdatenverarbeitung

Den Umgang mit personenbezogenen Daten regelt das Bundesdatenschutzgesetz (BDSG), welches in § 11 die Vorgaben für die Datenverarbeitung im Auftrag enthält. Wichtigster Grundsatz ist, dass der outsourcende Unternehmer (Auftraggeber) für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich ist und bleibt, wenn er personenbezogene Daten im Auftrag durch andere Stellen (Auftragnehmer) erheben, verarbeiten oder nutzen lässt.

Das bedeutet, dass ein Unternehmen die Verantwortung für die ihm anvertrauten personenbezogenen Daten nicht abgeben kann und damit stets auch Verpflichteter für die Rechte der von der Datenverarbeitung betroffenen Personen bleibt. Notwendige Folge ist der zweite Grundsatz: Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten und muss, wenn er der Ansicht sein sollte, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt, den Auftraggeber unverzüglich darauf hinweisen.
Das outsourcende Unternehmen hat gegenüber dem Dienstleister also ein umfassendes Weisungsrecht in Bezug auf die im Rahmen des Auftrags überlassenen Daten.

Vertraglich so weit wie möglich absichern

Hinzu kommen weitere Pflichten, die der Verantwortlichkeit des Auftraggebers Rechnung tragen. So hat er den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen gemäß § 9 BDSG sorgfältig auszuwählen.

Diese sind durch die Anlage zu § 9 Satz 1 BDSG beispielhaft konkretisiert, so dass sich aus dem Gesetz selbst ergibt, welche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen sind. Selbstverständlich müssen diese im Vertrag zwischen dem outsourcenden Unternehmen und dem externen Dienstleister festgehalten werden.

Ohnehin gilt, dass der Auftrag schriftlich zu erteilen ist, wobei die inhaltlichen Einzelheiten für jene Auftragserteilung aufgrund früherer Unzulänglichkeiten in der Praxis nun im Gesetz genau spezifiziert sind. Unternehmen, die ihre IT-Abläufe ausgliedern wollen, werden somit gut daran tun, sich vertraglich so weit wie möglich abzusichern. Darüber hinaus hat sich der Auftraggeber schon vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen Schutzmaßnahmen zu überzeugen und das Ergebnis der Kontrollen zu dokumentieren.

Gefahr bei Nichtbeachtung: Bußgeld

Zudem ist zu beachten, dass der Auftraggeber seinen Pflichten nicht allein durch den Abschluss eines guten Vertrages nachkommt. Vielmehr muss er auch die vertraglich eingeräumten Kontrollmaßnahmen tatsächlich durchführen, wenn er nicht ein Bußgeld von bis zu 50.000,00 EUR riskieren möchte.

Nach dem BDSG handelt nämlich ordnungswidrig, wer vorsätzlich oder fahrlässig einen Auftrag nicht wie vorgeschrieben erteilt oder sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen Schutzmaßnahmen überzeugt. Schon allein aus wirtschaftlichem Eigeninteresse sollte ein Unternehmen daher auch beim IT-Outsourcing alle rechtlichen und tatsächlichen Möglichkeiten wahrnehmen, um einen Datenverlust und/oder -missbrauch zu vermeiden. Der Schutz der ihm anvertrauten personenbezogenen Daten gebietet das sowieso.