Foto: Fotolia, Mapoli-Photo
Der Gesetzgeber hat es gut gemeint: Vor dem Hintergrund zahlreicher Datenskandale und Vertragslücken war es sinnvoll, die Regelungen zu präzisieren und zu vervollständigen. Aber in der Praxis hat die zweite Novelle des Bundesdatenschutzgesetzes (BDSG) neue Probleme aufgeworfen. Allerdings bieten die neuen Regeln auch die Chance für bessere Outsourcing-Verträge - im Sinne beider Vertragspartner.
Die Outsourcing-Branche zerbricht sich vor allem darüber den Kopf, wie eine zentrale Regelung aussehen könnte. Es ist nun mehr als ein halbes Jahr her, dass die Neufassung des Paragraphen 11 in Kraft getreten ist, der die Auftragsdatenverarbeitung regelt. Aber immer noch ringen Outsourcing-Kunden und Provider um vertragliche und kaufmännische Lösungen, mit denen sich die gesetzlichen Vorgaben umsetzen lassen.
Klar ist, dass die Neufassung künftig auf alle abzuschließenden Outsourcing-Verträge anzuwenden ist, sofern sie (auch) eine auftragsbezogene Datenverarbeitung zum Gegenstand haben. Doch es fehlt an einer klaren gesetzlichen Vorgabe, ob und in welchem Umfang auch die vor dem September 2009 abgeschlossenen Verträge betroffen sind und damit angepasst werden müssen.
Die Kunden reagieren präventiv
In der Praxis reagieren die Datenschutz- und Rechtsabteilungen der auslagernden Unternehmen bislang präventiv. Sie halten ihre IT-Kollegen an, entsprechende Zusatzvereinbarungen zu Altverträgen mit den Providern abzuschließen. Damit hoffen sie, den neuen Anforderungen des Paragraphen 11 Rechnung tragen und vermeintliche Lücken schließen zu können.
Der hieraus resultierende Aufwand ist nicht zu unterschätzen. Denn es gilt im Nachhinein auch festzustellen, ob Altverträge im Sinne der Neuregelungen überhaupt eine Auftragsdatenverarbeitung umfassen. Das war in dem Vertragstexten der Vergangenheit sprachlich nicht immer eindeutig geregelt.
Foto:
Häufig diskutieren Kunde und Provider dann über Sinn und Unsinn der Anpassung - ein zusätzlicher Aufwand, der vor allem Zeit kostet und das bislang vielleicht gute Serviceverhältnis auf eine Bewährungsprobe stellt. Künftig sollte daher in den Verträgen deutlich gemacht werden, ob und welche Serviceleistungen des Outsourcing-Providers eine Auftragsdatenverarbeitung im gesetzlichen Sinne darstellen.
Greift die gesetzliche Neufassung, entsteht dem Provider erheblicher Aufwand. Denn dann muss er seine Datenverarbeitung an die neuen gesetzlichen Vorgaben anpassen. Wirklich neu ist die Verpflichtung, geeignete "technische und organisatorische" Maßnahmen zum Schutz der Daten zu ergreifen, zwar nicht: Den entsprechenden Verweis des Paragraphen 11 auf den Paragraphen 9 gab es auch in der alten Fassung des Gesetzestextes. Doch nun wird auch der auslagernde Kunde in die Pflicht genommen: Er muss zwingend die Einhaltung der Datenschutzvorgaben auf Seiten des Providers überprüfen.
Um hier so früh wie möglich auf einen gemeinsamen Nenner zu kommen, werden die "technischen und organisatorischen Schutzmaßnahmen" im Vertrag zumeist benannt. So ergibt sich in der Verhandlungspraxis ein durchaus positiver Nebeneffekt: Aus einer potenziell ins Leere laufenden Regelung wird eine konkrete vertragliche Verabredung. Sie ist im Übrigen auch gut geeignet, die gesetzlich zulässige "Verhältnismäßigkeit" der Maßnahmen gemeinsam vor Vertragsabschluss zu beurteilen. So lassen sich kostentreibende Positionen vermeiden.
Der nächste Streit ist programmiert
Aber wehe, wenn es zu gesetzlich motivierten Vertragsanpassungen wie der Novelle des Bundesdatenschutzgesetzes und der Übernahme damit verbundener Kosten keine eindeutige Vertragsvereinbarung gibt. Dann ist der nächste Streit zwischen den Vertragspartnern wohl programmiert. Die Outsourcing-Kunden werden sich auf ihre Verpflichtung zur Gesetzestreue berufen und die Einhaltung maßgeblicher Spielregeln für Marktanbieter forden. Die Provider hingegen ziehen sich nicht selten auf die Position zurück, für den qualitativen Mehrbedarf zum Datenschutz im Outsourcing eigentlich nicht verantwortlich zu sein.
Im Ergebnis mag das eine Fragestellung akademischer Art sein. Aber die Kostenverteilung ist sehr konkret und lässt sich, wenn entsprechende Vereinbarungen fehlen, nur einvernehmlich lösen. Auch hier gibt es Verbesserungspotenzial für die künftige Vertragsgestaltung im Outsourcing. Sprich: Einschlägige Klauseln zur Kostenverteilung gehören unbedingt in den Outsourcing-Vertrag.
Zudem kollidieren in der Vertragspraxis die häufig als ergänzende Vertragsanlagen aufgenommen Anforderungen zum Datenschutz mit Regelungen, die aus anderen Rechts- und IT-Themengebieten stammen. Beispielsweise müssen auslagernde Banken, Finanzdienstleister und Versicherungen wegen branchenspezifischer Vorgaben von Seiten der Aufsichtsorgane, mit ihrem Outsourcing-Provider separate Regelungen zum Datenschutz treffen.
Ähnliche Konfliktfälle entstehen immer wieder aus den allgemeinen Anforderungen der IT-Sicherheit. Bislang fehlt es häufig an der Harmonisierung der Kauseln. Sie sollten aufeinander abgestimmt sein. Aber das ist noch Zukunftsmusik. Hier gibt es einen Bedarf für klare Outsourcing-Verhältnisse.