BDSG-Novelle

Konfliktfall Datenschutz im Outsourcing?

15.07.2010
Von Stefan Wendt

Die Kunden reagieren präventiv

In der Praxis reagieren die Datenschutz- und Rechtsabteilungen der auslagernden Unternehmen bislang präventiv. Sie halten ihre IT-Kollegen an, entsprechende Zusatzvereinbarungen zu Altverträgen mit den Providern abzuschließen. Damit hoffen sie, den neuen Anforderungen des Paragraphen 11 Rechnung tragen und vermeintliche Lücken schließen zu können.

Der hieraus resultierende Aufwand ist nicht zu unterschätzen. Denn es gilt im Nachhinein auch festzustellen, ob Altverträge im Sinne der Neuregelungen überhaupt eine Auftragsdatenverarbeitung umfassen. Das war in dem Vertragstexten der Vergangenheit sprachlich nicht immer eindeutig geregelt.

Foto: Ikom, Ottobrunn
Foto: Ikom, Ottobrunn
Foto:

Häufig diskutieren Kunde und Provider dann über Sinn und Unsinn der Anpassung - ein zusätzlicher Aufwand, der vor allem Zeit kostet und das bislang vielleicht gute Serviceverhältnis auf eine Bewährungsprobe stellt. Künftig sollte daher in den Verträgen deutlich gemacht werden, ob und welche Serviceleistungen des Outsourcing-Providers eine Auftragsdatenverarbeitung im gesetzlichen Sinne darstellen.

Greift die gesetzliche Neufassung, entsteht dem Provider erheblicher Aufwand. Denn dann muss er seine Datenverarbeitung an die neuen gesetzlichen Vorgaben anpassen. Wirklich neu ist die Verpflichtung, geeignete "technische und organisatorische" Maßnahmen zum Schutz der Daten zu ergreifen, zwar nicht: Den entsprechenden Verweis des Paragraphen 11 auf den Paragraphen 9 gab es auch in der alten Fassung des Gesetzestextes. Doch nun wird auch der auslagernde Kunde in die Pflicht genommen: Er muss zwingend die Einhaltung der Datenschutzvorgaben auf Seiten des Providers überprüfen.

Um hier so früh wie möglich auf einen gemeinsamen Nenner zu kommen, werden die "technischen und organisatorischen Schutzmaßnahmen" im Vertrag zumeist benannt. So ergibt sich in der Verhandlungspraxis ein durchaus positiver Nebeneffekt: Aus einer potenziell ins Leere laufenden Regelung wird eine konkrete vertragliche Verabredung. Sie ist im Übrigen auch gut geeignet, die gesetzlich zulässige "Verhältnismäßigkeit" der Maßnahmen gemeinsam vor Vertragsabschluss zu beurteilen. So lassen sich kostentreibende Positionen vermeiden.