Das deutsche Datenschutzrecht gehört zu den am wenigsten übersichtlichen Rechtsmaterien überhaupt. Seit dem berühmten Volkszählungsurteil des Bundesverfassungsgerichts von 1983 gilt: Jeder Datenverarbeitungsvorgang, der sich auf persönliche Daten eines Menschen bezieht, bedarf einer besonderen Rechtfertigungsvorschrift. Die meisten dieser Erlaubnisvorschriften ordnen eine Interessenabwägung an: Überwiegt das Interesse der Betroffenen, dass keine Verarbeitung erfolgt, ist sie verboten.
Wegen der Unsicherheit dieser Abwägungsentscheidung bei jeder Datenverarbeitung bewegen sich Unternehmen fast immer in einer rechtlichen Grauzone. Nur selten können sie sich für den konkreten Fall auf gesicherte höchstrichterliche Rechtsprechung berufen.
Insbesondere dürfen persönliche Daten nicht ohne Weiteres an Dritte weitergegeben werden. Genau das passiert aber beim Outsourcing: Werden Systeme durch externe IT-Dienstleister betrieben, kann ein Zugriff auf persönliche Daten nicht ausgeschlossen werden. Die Gefahr ist durchaus real: Ende letzten Jahres vermeldete zum Beispiel die Frankfurter Rundschau den "Klau" zehntausender Kreditkartendaten eines Berliner Bankhauses - weil dessen international renommierter IT-Dienstleister die Daten offenbar nicht ausreichend geschützt hatte.
Das Gesetz bietet für das IT-Outsourcing jedoch unter der sperrigen Bezeichnung "Auftragsdatenverarbeitung" einen Ausweg aus dem rechtlichen Graubereich: Treffen Unternehmen und Dienstleister eine besondere Vereinbarung über Auftragsdatenverarbeitung, bilden beide eine datenschutzrechtliche Einheit. Die Daten dürfen dann zwischen den Vertragspartnern leichter hin und her geschoben werden. Mit dieser Konstruktion entfällt daher die Interessenabwägung mit ihren unvermeidlichen rechtlichen Unsicherheiten.
Zehn-Punkte-Plan für Outsourcing Verträge
Ohne Fleiß kein Preis: Das Privileg der Auftragsdatenverarbeitung gibt es leider nicht zum Nulltarif. Der Gesetzgeber gibt seit 1. September in einem Zehn-Punkte-Plan detailliert vor, was in einem Outsourcing-Vertrag mindestens geregelt sein muss. Kaum ein Outsourcing-Vertrag erfüllt diese Anforderungen. Zwar galten schon vorher inhaltliche Mindestvorgaben - die wurden in der Praxis aber nur allzu häufig ignoriert.
Dieser Pragmatismus kann gefährlich werden: Mit einer Erweiterung der Bußgeldvorschriften hat der Gesetzgeber deutlich gemacht, dass Behörden Outsourcings künftig stärker unter die Lupe nehmen sollen. Die Bußgeldtatbestände wurden erweitert, der Bußgeldrahmen auf 300.000 Euro erhöht. Bei schwerwiegenden Verstößen muss sich das Unternehmen sogar durch halbseitige Anzeigen in Tageszeitungen selbst an den "Datenschutzpranger" stellen.
Es versteht sich deshalb, dass die Vorgaben bei neuen Outsourcing-Deals beachtet werden müssen. Aber damit nicht genug: Auch bereits bestehende Outsourcing-Verträge gehören auf den Prüfstand - eine Übergangsvorschrift hat der Gesetzgeber nämlich nicht vorgesehen. Das neue Recht gilt daher ab sofort auch für Altverträge.
Weil Papier geduldig ist, bürdet das Gesetz dem Outsourcing-Kunden jetzt zusätzliche Überwachungspflichten auf. Der Auftraggeber muss seinen Dienstleister jetzt regelmäßig kontrollieren, ob die Datenschutzvorschriften eingehalten werden. Auch wer diese Prüfung nicht durchführt, riskiert ein empfindliches Bußgeld.
Vier Punkte, die CIOs beachten sollten
Bei allen Risiken bietet das neue Datenschutzrecht jedoch auch Chancen. Diese Punkte sollten CIOs beachten:
-
1. Nutzung eines einheitlichen Vertragsmusters für Neuverträge: Das Muster muss den vom Gesetzgeber vorgeschriebenen Zehn-Punkte-Plan beinhalten. Ein einheitliches Vertragsmuster erleichtert der IT-Governance-Abteilung und dem betrieblichen Datenschutzbeauftragten die Arbeit und schafft für den Fall der Fälle eine auch bei Datenschutzbehörden vorzeigbare Dokumentationslage. Die Erfahrung zeigt zudem: Müssen jahrelang praktizierte Prozesse dokumentiert werden, ergeben sich häufig Ansatzpunkte für Einsparungen.
-
2. Anpassung von Altverträgen: Auch bereits bestehende Verträge müssen angepasst werden. Das kann der CIO zum Anlass nehmen, die Preise neu zu verhandeln. Ansatzpunkte bieten sich z. B. bei der Auslagerung von Leistungen in Offshore-Regionen oder der Umsetzung von Cloud-Computing-Konzepten. Grund: Der Auftraggeber kann sich das letzte Wort darüber vorbehalten, welche Subunternehmer der Dienstleister einschalten darf. Will der Dienstleister durch Rechenzentren in Billiglohnländern Kosten reduzieren, kann der Kunde durchaus mitsparen.
-
3. Auditierung von Dienstleistern: Das auftraggebende Unternehmen muss nach dem Gesetz vor Beginn des Outsourcings "und sodann regelmäßig" kontrollieren, ob der Dienstleister seinen Pflichten ordnungsgemäß nachkommt. Solche Überprüfungen sind zwar aufwändig, für den IT-Dienstleister aber – ähnlich wie ein Preisbenchmark – auch enorm lästig. Wer genauer hinschaut, findet häufig Versäumnisse, die sich - z.B. über bestehende Service Level Agreements - in eine Reduzierung der Vergütung ummünzen lassen. Wie so oft gilt auch hier, dass die Drohung manchmal stärker sein kann als die Ausführung: Schon die Ankündigung eines Audits kann dazu führen, dass der IT-Dienstleister von sich aus Preisminderungen anbietet, z.B. über eine Anpassung von Service Level Agreements.
-
4. Nutzung von Datenschutz als Marketinginstrument: Aus Angst vor "Datenschutzskandalen" achten Kunden heute immer häufiger darauf, dass auch Lieferanten datenschutzkonform arbeiten. Wer hier auf lückenlose Datenschutz-Compliance verweisen kann, hat Wettbewerbsvorteile.
Jens Nebel ist Rechtsanwalt in der Essener Kanzlei Kümmerlein, Simon & Partner Rechtsanwälte