computerwoche.de

IT-Services

Schwierige Auslagerungsprojekte

Die Risiken des Offshorings

28.07.2010
Von Armin Strauß

9. Datenschutz

Datenschutz ist nicht nur im Offshoring ein wichtiges Thema. Hier dargestellt ist die Zahl der Datenschutzpannen in Deutschland. Besonders viele Verstöße gab es im letzten Quartal 2009. Quelle: PR-COM, Projekt Datenschutz
Datenschutz ist nicht nur im Offshoring ein wichtiges Thema. Hier dargestellt ist die Zahl der Datenschutzpannen in Deutschland. Besonders viele Verstöße gab es im letzten Quartal 2009. Quelle: PR-COM, Projekt Datenschutz
Foto: PR-Comm Projekt Datenschutz

Sensible Daten dürfen nicht außerhalb Deutschlands oder der EU gespeichert werden: Der Transfer von personenbezogenen Daten in außereuropäische Länder sowie deren dortige Speicherung und Verarbeitung können das Datenschutzrecht verletzen. Die hohen Anforderungen, die das Bundesdatenschutzgesetz (BDSG) für eine Übermittlung und Verarbeitung von personenbezogenen Daten ins Ausland stellt, lassen sich nur erfüllen, wenn in dem betreffenden Land ein angemessenes Datenschutzniveau garantiert ist.

Was ist zu tun?

Eine unzulässige Datenübermittlung kann schmerzhafte Folgen haben und sollte unbedingt vermieden werden. Verantwortlich für eine vorschriftsmäßige Datenübermittlung ist das in Deutschland ansässige auslagernde Unternehmen. In Indien existieren zum Beispiel keine expliziten Datenschutzgesetze.

Die Zulässigkeit eines Datentransfers hängt auch davon ab, ob der IT-Provider selbst in Indien oder einem anderen Billiglohnland ein angemessenes Datenschutzniveau garantieren kann oder ob einer der im BDSG vorgesehenen Ausnahmetatbestände vorliegt. Andernfalls muss das auslagernde Unternehmen für vertragliche Absicherungen sorgen. Neben der individuellen Vertragsgestaltung kommt die Übernahme der so genannten EU-Standardvertragsklauseln (abrufbar über http://www.europa.eu.int) für die Auftragsdatenverarbeitung mit Unternehmen in Drittländern in Betracht.

Mindestmaß an Datenschutz

Diese von der Europäischen Union herausgegebenen Vertragsklauseln gewährleisten einen Mindeststandard des Datenschutzes. Sie spezifizieren etwa die Pflichten von Datenexporteur und Datenimporteur und enthalten eine Drittbegünstigungsklausel für betroffene Personen sowie Haftungsregelungen. Die Vorteile der Standardvertragsklauseln liegen darin, dass keine Genehmigung der Aufsichtsbehörde einzuholen ist und teure, langwierige Verhandlungen der Vertragspartner entfallen. Die EU-Standardklauseln dürfen allerdings inhaltlich nicht verändert werden. Sollen sie dennoch an die individuellen Bedürfnisse der beteiligten Unternehmen angepasst werden, müssen die Änderungen von der Aufsichtsbehörde akzeptiert werden. Damit kann sich das Projekt verzögern.

Wird das Datenschutzrecht umgangen, droht Schadensersatz. Zudem kann die unzulässige Datenweitergabe als Ordnungswidrigkeit gewertet werden, die mit einer Geldbuße von bis zu 250.000 Euro zu ahnden ist. Bei vorsätzlichem Handeln wird das Vergehen möglicherweise sogar strafrechtlich verfolgt.

Fazit: Offshoring kann sich lohnen

Offshoring kann Kosten senken, die Effizienz verbessern und neue Experten mit ihrem Wissen schnell einbinden. Ein solches Vorhaben gelingt aber nur, wenn es als Transformationsprojekt betrachtet und behandelt wird. Dazu müssen mögliche Risiken vorab abgeschätzt und bewertet werden. (jha)