Checkliste für den Vertrag
Vor Beginn der Auftragsdatenvereinbarung ist zwischen dem Unternehmen und dem Dienstleister ein entsprechender Vertrag (Vereinbarung zur Auftragsdatenverarbeitung) zu schließen. Dieser muss nach §11 BDSG mindestens Festlegungen zu diesen zehn Punkten enthalten:
Gegenstand und Dauer des Auftrags;
Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen;
die nach §9 BDSG zu treffenden technischen und organisatorischen Maßnahmen;
die Berichtigung, Löschung und Sperrung von Daten;
die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen;
die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen;
die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers;
mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen;
der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält;
die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
In der Regel empfiehlt sich die Verwendung einer Mustervereinbar zur Auftragsdatenverarbeitung.
Standardklauseln für Nicht-EU-Aufträge
Um ein angemessenes Datenschutzniveau auch bei der Zusammenarbeit mit Dienstleistern außerhalb der EU sicherzustellen, hat die EU-Kommission die "Standardklauseln für Auftragsdatenverarbeitung" festgelegt. Die Standardvertragsklauseln werden als gesonderte Vereinbarung neben dem eigentlichen Dienstleistungsvertrag mit Dienstleistern außerhalb der EU geschlossen. Im Anhang zu den Klauseln befinden sich zwei Formulare, in denen Einzelheiten zu den Parteien, den exportierten Daten, der Datenverarbeitung und den Sicherheitsvorkehrungen beim Dienstleister eingetragen werden können.
- So wechseln CIOs den Outsourcing-Partner
Bei Unzufriedenheit unbedacht den Dienstleister zu wechseln ist gefährlich. Zu prüfen sind unter anderem Laufzeit, Folgekosten und Optionen wie Multisourcing. - 1. Die Gründe für das Outsourcing nochmals überprüfen:
"Rufen Sie sich die Gründe dafür zurück, warum Sie sich ursprünglich zum Auslagern entschieden haben", rät Edward J. Hansen von der Anwaltskanzlei Baker & McKenzie. Wenn diese Gründe immer noch gelten, reicht es, sich einen neuen Dienstleister zu suchen. Falls nicht, muss die ganze Strategie überdacht werden - und das Unternehmen entschließt sich möglicherweise zum Insourcing. - 2. An die Vertragslaufzeiten denken:
Wer den Anbieter wechseln will, tut das am besten, wenn das bisherige Abkommen ausläuft. Die Zusammenarbeit während der Laufzeit zu beenden, ist nur in dringenden Fällen ratsam. - 3. Den Vertrag genau studieren:
Es kann Streit ums Geld geben, wenn ein Vertrag vorzeitig beendet werden soll. Schon aus diesem Grund muss der bestehende Vertrag genauestens unter die Lupe genommen werden. Wer geschickt ist, baut in künftige Abkommen ein, in welcher Weise ein Dienstleister den Kunden bei einem Provider-Wechsel unterstützen muss. - 4. Wiederverhandeln kann sinnvoller sein als Aussteigen:
Ein Anbieterwechsel kann sich kompliziert gestalten. Wer das vermeiden will, sollte den bestehenden Vertrag lieber neu verhandeln. Entscheider müssen die eigenen Motive für den Wunsch nach einem Wechsel überprüfen. - 5. Den bestehenden Dienstleister durchleuchten:
Dieser Punkt knüpft an den vorhergehenden an. Wenn der Grund für den Wechsel-Wunsch darin liegt, dass der Dienstleister schlechte Qualität liefert, muss sich auch der Kunde nach den Gründen dafür fragen. Ein offenes Gespräch kann in Neu-Verhandlungen statt im Wechsel enden. - 6. Es wird Ärger mit dem Faktor Mensch geben:
Wenn Mitarbeiter des neuen Dienstleisters ins eigene Unternehmen kommen, kann es zu zwischenmenschlichen Reibereien kommen. Das darf nicht unterschätzt werden. - 7. Beim Wechsel mit unproblematischeren Teilen beginnen:
Rechenzentrum-Services oder Disaster Recovery bieten sich als Erstes an, wenn der Dienstleister gewechselt werden soll. Generell gilt: Nicht mit dem Kompliziertesten anfangen! - 8. Die Kosten eines Wechsels kalkulieren:
Wer durch den Wechsel des Anbieters Kosten senken will, muss bedenken, dass die Neu-Organisation des Outsourcings selbst auch Geld kostet. Diese Ausgaben müssen gegen mögliche Einsparungen abgewogen werden. - 9. Multisourcing als Alternative:
Wer das bisherige Abkommen auflösen will, zielt meist auf Multisourcing ab, statt sich wieder für einen einzigen Anbieter zu entscheiden. Das ist zumindest die Beobachtung von Jeffrey Andrews (Anwaltskanzlei Thompson & Knight). Entscheider sollten sich des damit verbundenen Zeitaufwandes bewusst sein. - 10. Aus den eigenen bisherigen Fehlern lernen:
Das vielleicht Wichtigste ist, die eigenen Erfahrungen festzuhalten, um beim nächsten Mal daraus zu lernen.
Diese Vertragsvorgaben ergänzen und präzisieren die Vertragsbedingungen hinsichtlich der datenschutzrechtlich geforderten Mindeststandards. Zu beachten ist, dass sich neben den Standardvertragsklauseln aus dem BDSG noch weitere datenschutzrechtliche Anforderungen ergeben können. Die Klauseln müssen übernommen werden, sind per se aber noch kein datenschutzrechtlicher "Freifahrtschein".
Die Standardvertragsklauseln sehen in Klausel 11 ausdrücklich auch die Einbindung von Unterauftragnehmern durch den beauftragten Dienstleister vor, wenn zwei Voraussetzungen erfüllt sind:
Einwilligung: Der Auftraggeber hat vorher schriftlich in die Unterauftragsvergabe eingewilligt. Die Einwilligung kann auch als Generaleinwilligung erfolgen, also ohne die Unterauftragnehmer individuell zu benennen.
Weiterreichen der Vertragsregelungen: Dienstleister und Unterauftragnehmer schließen einen schriftlichen Vertrag, der dem Unterauftragnehmer die gleichen Pflichten auferlegt, die auch der Dienstleister nach den Standardvertragsklauseln erfüllen muss, die Bedingungen der Auftragsdatenverarbeitung müssen also an den Unterauftragnehmer weitergereicht werden.
Zusammenfassung
Für Nearshore-Softwareentwicklung sind die rechtlichen Rahmenbedingungen klar geregelt. Unternehmen, die Dienstleister aus Nearshore-Ländern wie Armenien, der Ukraine oder Rumänien beauftragen wollen, sind auf der sicheren Seite, wenn sie die folgenden Punkte beachten:
Die Verantwortlichkeit für die Einhaltung der gesetzlichen Vorschriften sowie der erforderlichen Prüf- und Dokumentationspflichten liegt beim Auftraggeber. Verstöße können zu Maßnahmen der Aufsichtsbehörde sowie zu Bußgeldern führen. Insbesondere ist durch das Unternehmen sicherzustellen, dass die vertraglichen Vereinbarungen mit dem Dienstleister nicht nur auf dem Papier stehen, sondern auch in der Praxis erfüllt werden.
Sofern das Unternehmen einen Dienstleister innerhalb der EU beauftragt, gilt die jeweilige Umsetzung der EU-Datenschutzrichtlinie, in Deutschland also §11 BDSG. Zusätzlich zum eigentlichen Dienstleistungsvertrag ist deshalb lediglich eine Vereinbarung zur Auftragsdatenverarbeitung abzuschließen.
Sofern das Unternehmen einen Dienstleister außerhalb der EU beauftragt, sind zusätzlich zum eigentlichen Dienstleistungsvertrag noch die von der EU-Kommission erstellten Standardklauseln in unveränderter Form vertraglich zu vereinbaren, um den Anforderungen an ein "angemessenes Datenschutzniveau" Rechnung zu tragen.
Sofern der beauftragte Dienstleister einen Unterauftragnehmer außerhalb der EU beauftragt,
muss der Auftraggeber zuvor schriftlich der Einbindung von Unterauftragnehmern zugestimmt haben,
müssen die vertraglichen Regelungen zwischen Unternehmen und Dienstleister, insbesondere die der Auftragsdatenverarbeitung, an den Unterauftragnehmer weitergereicht werden,
und müssen zwischen Dienstleister und Unterauftragnehmer die Standardvertragsklauseln in unveränderter Form abgeschlossen werden. (sh)