Das Auslagern (sog. Outsourcing) von Datenverarbeitungsprozessen erfreut sich seit Jahren in vielen Unternehmen großer Beliebtheit, bringt es doch verschiedene Vorteile mit sich:

Fachkompetenz und Sparpotential

Ein Dienstleister, der täglich mit vergleichbaren Sachverhalten betraut ist, hat in diesen Bereichen zumeist eine hohe Fachkompetenz und verfügt i.d.R. über etablierte Prozesse. Aufgaben können somit effektiver bearbeitet werden als bei einer internen Bearbeitung, die seltener der Fall ist. Ein weiterer Aspekt betrifft die Kosten. Der externe Dienstleister ist regelmäßig günstiger als eine interne Arbeitskraft.

Auftragsdatenverarbeitung

Werden Dienstleistungen ausgelagert, erfolgt dies regelmäßig in Form einer sogenannten Auftragsdatenverarbeitung. Hierbei werden dem Dienstleister die zu verarbeitenden Daten überlassen. Die Verantwortlichkeit verbleibt beim Auftraggeber, d.h. dieser steht in der Pflicht, sollte es beim Dienstleister beispielsweise zu einem Datenverlust kommen.

Die externe Datenverarbeitung muss durch einen Vertrag zur Auftragsdatenverarbeitung genauestens geregelt werden. Hierzu definiert der maßgebliche § 11 Abs. 2 S. 2 BDSG die zwingend erforderlichen Vertragsinhalte:

  • Gegenstand und Dauer des Auftrags,
  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten sowie die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung der beim Auftragnehmer gespeicherten Daten nach Beendigung des Auftrags.

Technische und organisatorische Maßnahmen

Einen wesentlichen Aspekt stellen die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen dar. Hierbei muss der Dienstleister differenziert beschreiben, welche konkreten Maßnahmen er getroffen hat, damit der Auftraggeber deren Angemessenheit überprüfen kann.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe gegen ein Unternehmen festgesetzt. Dieses hatte in den Verträgen keine konkreten technischen und organisatorischen Maßnahmen genannt. Stattdessen enthielten diese „nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes“. Thomas Kranig, der Präsident des BayLDA erklärte in diesem Zusammenhang:

„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht. […] Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“

Nach § 9 BDSG in Verbindung mit der Anlage hierzu werden die einzelnen Maßnahmen definiert. In unserer Reihe „TOM und der Datenschutz“ haben wir mögliche Regelungsinhalte zusammengetragen, an denen man sich bei der Erstellung der Übersicht orientieren kann: