Neues Datenschutzrecht kollidiert mit IT-Outsourcing

Zehn-Punkte-Plan für Outsourcing Verträge

Ohne Fleiß kein Preis: Das Privileg der Auftragsdatenverarbeitung gibt es leider nicht zum Nulltarif. Der Gesetzgeber gibt seit 1. September in einem Zehn-Punkte-Plan detailliert vor, was in einem Outsourcing-Vertrag mindestens geregelt sein muss. Kaum ein Outsourcing-Vertrag erfüllt diese Anforderungen. Zwar galten schon vorher inhaltliche Mindestvorgaben - die wurden in der Praxis aber nur allzu häufig ignoriert.

Dieser Pragmatismus kann gefährlich werden: Mit einer Erweiterung der Bußgeldvorschriften hat der Gesetzgeber deutlich gemacht, dass Behörden Outsourcings künftig stärker unter die Lupe nehmen sollen. Die Bußgeldtatbestände wurden erweitert, der Bußgeldrahmen auf 300.000 Euro erhöht. Bei schwerwiegenden Verstößen muss sich das Unternehmen sogar durch halbseitige Anzeigen in Tageszeitungen selbst an den "Datenschutzpranger" stellen.

Es versteht sich deshalb, dass die Vorgaben bei neuen Outsourcing-Deals beachtet werden müssen. Aber damit nicht genug: Auch bereits bestehende Outsourcing-Verträge gehören auf den Prüfstand - eine Übergangsvorschrift hat der Gesetzgeber nämlich nicht vorgesehen. Das neue Recht gilt daher ab sofort auch für Altverträge.

Weil Papier geduldig ist, bürdet das Gesetz dem Outsourcing-Kunden jetzt zusätzliche Überwachungspflichten auf. Der Auftraggeber muss seinen Dienstleister jetzt regelmäßig kontrollieren, ob die Datenschutzvorschriften eingehalten werden. Auch wer diese Prüfung nicht durchführt, riskiert ein empfindliches Bußgeld.