Risk Management II: Datenschutz bei IT-Outsourcing sicher stellen

Die Bürokratie hemmt einfache und klare Regelungen des Datenschutzes für das Outsourcing von IT-Leistungen ins Ausland. Es gibt immer noch keine international anerkannten Zertifikate zum Nachweis der Datensicherheit.

Dr. Christiane Bierekoven, Rechtsanwältin und Leiterin des IT-Kompetenzcenters bei Rödl & Partner, weist darauf hin, dass der deutsche Datenschutz der internationalen Entwicklung nur unzureichend Rechnung trägt. Sie wünscht sich klare Regelungen für die Auslagerung von IT-Leistungen ins Ausland sowie ein international anerkanntes Zertifikat zum Nachweis der Datensicherheit.

In Deutschland dürfen persönliche Daten nicht ohne Weiteres an Dritte weitergegeben werden. Genau das passiert beim IT-Outsourcing: Die Systeme werden durch externe IT-Dienstleister betrieben, ein Zugriff auf persönliche Daten kann nicht ausgeschlossen werden. Ist das deutsche Datenschutzgesetz auf den Trend der vollständigen Auslagerung von IT-Infrastrukturen nicht vorbereitet?

Innerhalb Deutschlands ist eine vollständige Auslagerung von IT-Infrastrukturen Datenschutz konform unter Beachtung der Anforderungen des § 11 BDSG möglich. Danach sind in einer schriftlichen Vereinbarung („ADV“) bestimmte gesetzliche Vorgaben umzusetzen, wie Spezifizierung der Daten, technische Maßnahmen, Kontroll- und Weisungsrechte, Mitteilung von Verstößen, Löschung von Daten nach Beendigung des Vertrags und Begründung von Unterauftragsverhältnissen. Daneben ist zwingend eine Kontrolle vor Beginn der Datenverarbeitung.

Auch innerhalb der EU ist eine Auftragsdatenverarbeitung mit den geltenden Regelungen möglich. Problematisch ist IT-Outsourcing außerhalb der EU, wenn der Auftragnehmer seinen Sitz nicht in sicheren Drittstaaten (Kanada, Schweiz, Guernsey, Isle of Man und Argentinien) hat. Hier ist eine Datenauslagerung nur zulässig, wenn die EU-Standard-Vertragsklauseln abgeschlossen werden. Dies stellt in der zunehmenden Internationalisierung von IT-Leistungen ein Hemmnis dar.

Auf was müssen Unternehmen alles achten, wenn sie ihre IT-Dienste auslagern?

Sie müssen den Auftragnehmer sorgfältig auswählen. Hierzu gehört die Vergewisserung, dass der Auftragnehmer in der Lage ist, die erforderlichen Sicherheitsmaßnahmen zu ergreifen. Zudem sollten sich Unternehmen ein Gesamtbild vom Auftraggeber in personeller, finanzieller Ausstattung sowie Erfahrung und Verlässlichkeit machen.

Welche Möglichkeiten haben Unternehmen, die IT-Outsourcing betreiben, um sich abzusichern?

Die Unternehmen müssen sicherstellen, dass ihr Anbieter die technisch organisatorischen Maßnahmen zur Sicherung der Daten einhält, entweder durch Vor-Ort-Kontrollen, Testate oder Zertifikate über Datenschutz und Datensicherheitsaudits.

Daneben sind die ADVs abzuschließen. In diesen sollten sich Unternehmen weitreichende Weisungsbefugnisse und Kontrollrechte vorbehalten. Wichtig ist zudem ein Mitspracherecht bei der Einschaltung von Subunternehmern in Form eines Zustimmungsvorbehalts.

Experten sagen, bei der Datenverarbeitung bewegen sich Unternehmen fast immer in einer rechtlichen Grauzone. Wie schätzen Sie das ein?

Wie die Anforderungen in der Praxis umgesetzt werden können – das ist weder durch Rechtsprechung noch durch klare Beschlüsse der Datenschutz-Aufsichtsbehörden geregelt. Zudem vertreten die Aufsichtsbehörden der Bundesländer zum Teil unterschiedliche Auffassungen. Deswegen verbleiben Interpretationsmöglichkeiten. Unternehmen können sich nicht sicher sein, dass ihre Datenschutzkonzepte den Vorgaben der einzelnen Datenschutz-Aufsichtsbehörden entsprechen und müssen diese im Zweifel kontaktieren.

Die Bundesregierung hat im Jahr 2009 die Datenschutzbestimmungen verschärft. Wie schätzen Sie die strengeren Auflagen ein? Was haben sie gebracht?

Vor dem Hintergrund des Schutzes der persönlichen Daten waren die Verschärfungen sinnvoll, da die Kontroll- bzw. Mitbestimmungsrechte der Kunden erheblich im Werbebereich gestärkt worden sind. Dies bedeutete für die Unternehmen erheblichen Zusatzaufwand zur Umsetzung der neuen Anforderungen. Mitarbeiter, die Kundendaten erheben, müssen so geschult werden, dass sie auf das Widerspruchsrecht hinweisen und es festhalten. Sodann ist firmenintern sicherzustellen, dass Widersprüche so im CRM-System hinterlegt werden, dass an diese Kunden keine Werbung gesandt wird. Dies bedingt einen erheblichen personellen und organisatorischen Aufwand.

Gibt es mehr Kontrollen? Wenn ja, wie sehen die aus?

Es wird heute häufiger und stärker kontrolliert – immer öfter von Privatkunden initiiert, insbesondere wegen nichtbeachteter Werbewidersprüche. Die Aufsichtsbehörden fordern die Unternehmen in einem solchen Fall auf, die Zentralisierung von CRM-Systemen und das Vorgehen zur Beachtung von Werbewidersprüchen darzulegen. Die Unternehmen sind zur vollständigen Auskunftserteilung verpflichtet, ansonsten drohen Bußgelder. Daneben führen einige Datenschutz-Aufsichtsbehörden Vor-Ort-Kontrollen durch, um sich die Datenverarbeitungsvorgänge anzusehen und die Datenschutzkonformität zu prüfen.

Wäre ein Datenschutz-Zertifikat für Unternehmen sinnvoll, die ausgelagerte IT-Aufgaben übernehmen? Wenn ja, wie könnte das aussehen?

Ein Datenschutz-Zertifikat wäre sinnvoll, weil der Anbieter so dokumentieren kann, dass er die erforderlichen Maßnahmen zur Datensicherheit einhält, und es für Unternehmen leichter wäre, Anbieter auszuwählen, bei denen sie nicht selbst kontrollieren müssten. Vor dem Problem der internationalen Datenverarbeitung sollte es europäische oder international anerkannte Zertifikate geben.

Für besonders sensible Daten, wie Gesundheitsdaten und solche, die bei Missbrauch eine Benachrichtigungspflicht nach sich ziehen, sollte es wegen der besonderen Schutzwürdigkeit ein gesondertes Datenschutz-Zertifikat geben.

Was kam mit den neuen Datenschutzbestimmungen an Kosten und Bürokratie auf die Unternehmen zu?

Die Kosten waren abhängig vom jeweiligen Umstellungsaufwand. Hatten Unternehmen bereits vor der BDSG-Novelle ihre CRM-Systeme so konfiguriert, dass Werbewidersprüche hinterlegt und berücksichtigt werden konnten, war die Umstellung mit weniger Aufwand verbunden, als bei solchen, die ihren Dataflow unter Berücksichtigung der neuen Anforderungen vollständig neu aufsetzen mussten. Hinzu kam Schulungsaufwand.

Speziell im Outsourcing-Bereich mussten bestehende Altverträge an die Neuregelungen angepasst und Kontrollen durchgeführt werden, wenn bislang keine dokumentierten regelmäßigen Kontrollen stattgefunden hatten.

Wenn Sie entscheiden dürften, wie würden Ihre Datenschutzbestimmungen in Bezug auf IT-Outsourcing aussehen?

Bislang musste das auslagernde Unternehmen entweder mit dem Auftragnehmer und allen Unterauftragnehmern die EU-Standardvertragsklauseln abschließen oder den Auftragnehmer bevollmächtigen, solche Verträge abzuschließen, mit der Folge, dass diese der Genehmigungspflicht durch die Aufsichtsbehörde unterlagen. Deshalb haben viele Unternehmen trotz des Aufwands Einzelverträge mit allen Unterauftragnehmern abgeschlossen.

Insofern ist die Europäische Kommission mit ihren neuen Standardvertragsklauseln vom 15.05.2010 einen Schritt in die richtige Richtung gegangen. Sie ermöglichen solche Kettenauslagerungen ohne Aufwand. Sie sind aber nur anwendbar, wenn der Auftragnehmer seinen Sitz nicht in der EU hat, selbst wenn er Unteraufträge an Subunternehmer mit Sitz in Drittländern erteilt.

Hier würde ich eine Vereinfachung vornehmen. Es sollte ausreichen, wenn der Auftragnehmer mit seinen Subunternehmern Unteraufträge abschließt, wenn sichergestellt wird, dass in dem Vertrag ausreichende Garantien zum Schutz der personenbezogenen Daten vereinbart werden, für deren Einhaltung der Auftragnehmer einzustehen hat und im Zweifel haftbar gemacht werden kann.

Dies in Kombination mit einem europäischen und international anerkannten Zertifikat zur Datensicherheit würde der Praxis des internationalen IT-Outsourcings besser gerecht und wäre gleichzeitig ein Schritt zu einem international tauglichen Datenschutzrecht.

Wird in Deutschland der Datenschutz besonders streng gehandhabt? Wie fällt ein Ländervergleich aus? Wo rangiert die Bundesrepublik?

Insgesamt haben wir in Deutschland ein strenges Datenschutzrecht, das darauf angelegt ist, die Persönlichkeitsrechte der Betroffenen soweit wie möglich zu schützen.

Andererseits haben wir die Europäische Datenschutzrichtlinie. Die konkrete Umsetzung dieser Richtlinie variiert jedoch in den einzelnen Mitgliedsstaaten. Es gibt auch Länder, die kein Datenschutzgesetz haben. Andere Staaten wie die USA haben zwar ein Datenschutzrecht, legen jedoch aufgrund ihrer Kultur einen anderen Schwerpunkt.

Wesentlich ist nach meinem Dafürhalten, dass es in Deutschland ein praxistaugliches Datenschutzrecht gibt, das den Anforderungen der zunehmenden Internationalisierung Rechnung trägt, ohne die persönlichen Daten der Betroffenen weniger zu schützen. Dies ist aus den genannten Gründen noch nicht der Fall und deswegen sehe ich hier Handlungsbedarf des Gesetzgebers.

Kommentare

Schreiben Sie den ersten Kommentar zum Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.