Neues Datenschutzrecht kollidiert mit IT-Outsourcing

Das deutsche Datenschutzrecht gehört zu den am wenigsten übersichtlichen Rechtsmaterien überhaupt. Seit dem berühmten Volkszählungsurteil des Bundesverfassungsgerichts von 1983 gilt: Jeder Datenverarbeitungsvorgang, der sich auf persönliche Daten eines Menschen bezieht, bedarf einer besonderen Rechtfertigungsvorschrift. Die meisten dieser Erlaubnisvorschriften ordnen eine Interessenabwägung an: Überwiegt das Interesse der Betroffenen, dass keine Verarbeitung erfolgt, ist sie verboten.

Wegen der Unsicherheit dieser Abwägungsentscheidung bei jeder Datenverarbeitung bewegen sich Unternehmen fast immer in einer rechtlichen Grauzone. Nur selten können sie sich für den konkreten Fall auf gesicherte höchstrichterliche Rechtsprechung berufen.

Insbesondere dürfen persönliche Daten nicht ohne Weiteres an Dritte weitergegeben werden. Genau das passiert aber beim OutsourcingOutsourcing: Werden Systeme durch externe IT-Dienstleister betrieben, kann ein Zugriff auf persönliche Daten nicht ausgeschlossen werden. Die Gefahr ist durchaus real: Ende letzten Jahres vermeldete zum Beispiel die Frankfurter Rundschau den "Klau" zehntausender Kreditkartendaten eines Berliner Bankhauses - weil dessen international renommierter IT-Dienstleister die Daten offenbar nicht ausreichend geschützt hatte. Alles zu Outsourcing auf CIO.de

Das Gesetz bietet für das IT-Outsourcing jedoch unter der sperrigen Bezeichnung "Auftragsdatenverarbeitung" einen Ausweg aus dem rechtlichen Graubereich: Treffen Unternehmen und Dienstleister eine besondere Vereinbarung über Auftragsdatenverarbeitung, bilden beide eine datenschutzrechtliche Einheit. Die Daten dürfen dann zwischen den Vertragspartnern leichter hin und her geschoben werden. Mit dieser Konstruktion entfällt daher die Interessenabwägung mit ihren unvermeidlichen rechtlichen Unsicherheiten.