Prüfungspflichten eines Unternehmens bei Auslagerung von Datenverarbeitungsprozessen (Outsourcing) aus datenschutzrechtlicher Sicht

07.01.20131163 Mal gelesen
Outsourcing bietet vielen Unternehmen die Möglichkeit, Kosten zu sparen. Bei der Auslagerung von Datenverarbeitungsprozessen sind insbes. datenschutzrechtliche Vorschriften zu beachten. Nachfolgender Beitrag bietet insoweit einen ersten Überblick hinsichtlich der Anforderungen des § 11 BDSG .

Zur Kostenersparnis lagern immer mehr Unternehmen einzelne Bereiche ihres Unternehmens aus. Soweit im Rahmen dieses Outsourcing die Verarbeitung personenbezogener Daten betroffen ist und dem Dienstleister (im Folgenden: Auftragnehmer) darüber hinaus von dem Auftraggeber keine weiteren Aufgaben oder Funktionen übertragen werden, liegt regelmäßig eine Auftragsdatenverarbeitung vor. Dies hat zur Folge, dass der Auftraggeber die gesetzlichen Anforderungen des § 11 BDSG zu beachten hat. Dabei hat insbesondere der Auftraggeber auf die Einhaltung der datenschutzrechtlichen Vorschriften hinzuwirken. Dies ergibt sich daraus, dass § 11 Abs. 1 BDSG die Verantwortung für die Einhaltung des Datenschutzes bei der Datenverarbeitung gerade dem Auftraggeber auferlegt.

Gemäß § 11 Abs. 2 Nr. 1 - 10 BDSG hat der Auftraggeber dabei insbesondere darauf zu achten, dass die dort genannten Regelungen fest vereinbart werden. Dies sind im Einzelnen:

"1. der Gegenstand und die Dauer des Auftrags,

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

4. die Berichtigung, Löschung und Sperrung von Daten,

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags."

Wichtig hierbei ist insbesondere, dass der Auftraggeber sich gemäß § 11 Abs. 2 BDSG vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technisch-organisatorischen Maßnahmen zu überzeugen hat.

Welche Anforderungen wiederum an die technisch-organisatorischen Maßnahmen im Einzelnen zu stellen sind, hängt von verschiedenen Faktoren ab und ist für jeden Einzelfall gesondert zu bestimmen. Jedenfalls sollte der Auftraggeber vor Beginn der Datenverarbeitung beim Auftragnehmer sich davon überzeugen, dass das erforderliche Datenschutzniveau eingehalten ist. Dies kann er am besten durch die Einhaltung folgender Schritte gewährleisten:

1. Bei der Auswahl der Auftragnehmer lässt sich der Auftraggeber von den verschiedenen potentiellen Vertragspartnern deren technisch-organisatorische Maßnahmen vorlegen

2. Bei der Auswahl des Auftragnehmers achtet der Auftraggeber anhand dieser Informationen darauf, das ein ausreichendes Datenschutzniveau erreicht wird.

3. Abschluss der Auftragsdatenverarbeitungsvereinbarung unter genauer Festlegung der einzelnen technisch-organisatorischen Maßnahmen

4. Prüfung der Umsetzung dieser technisch-organisatorischen Maßnahmen durch den Auftraggebervor Beginnder Datenverarbeitung

5. Dokumentation des Ergebnisses der vorgenannten Prüfung

6. Regelmäßige Kontrollen der Umsetzung der technisch-organisatorischen Maßnahmen

Auftragsverhältnisse i.S. des § 11 BDSG können in den unterschiedlichsten Konstellationen erfolgen. So kann dies bei der Nutzung von externen Rechenzentren der Fall sein, genauso wie bei dem Einsatz von externen Entsorgungsbetrieben. Es liegt daher auf der Hand, dass die jeweils zu treffenden Maßnahmen zur Gewährleistung des ausreichenden Datenschutzniveaus völlig unterschiedlich sein können. Schließlich ist insoweit auch § 9 BDSG zu beachten, der von einer Angemessenheit der einzelnen zu treffenden technisch-organisatorischen Maßnahmen spricht.

Um jedoch mögliche Bußgelder wegen Verstoßes gegen datenschutzrechtliche Vorschriften von vornherein zu vermeiden, sollte vor der Auslagerung von Datenverarbeitungsprozessen ein insoweit geschulter Experte konsultiert werden.

Gerne stehe ich Ihnen diesbezüglich unter meinen Kontaktdaten zur Verfügung.