Outsourcing entlässt nicht aus der Verantwortung

Auch beim Outsourcing bleibt der Auftraggeber Herr der Daten und ist damit auch weiterhin für den Umgang mit ihnen verantwortlich.

Rainer R. hatte sich alles so schön ausgemalt. Der kaufmännische Leiter des mittelständischen Betriebes wollte die Lohn- und Gehaltsabrechnung mit Beginn des neuen Jahres auslagern. Die zahlreichen Änderungen in der Sozialversicherung, Steuergesetzgebung und den Tarifverträgen auch während des laufenden Jahres erforderten ständig neue Programmversionen. Zu oft waren Mitarbeiter der IT-Abteilung damit beschäftigt, Updates auf die Server zu spielen. Konzentration auf die Kernkompetenzen bedeutet auch im Mittelstand, sich von unnötigem Ballast zu befreien, war ihm klar.
Zudem, so ergab das Angebot, würde der IT-Dienstleister die Lohn- und Gehaltsabrechnung günstiger erledigen können als der Betrieb selbst. Auch der psychologische Aspekt, großen Druck loswerden zu können, spielte bei Rainer R. eine entscheidende Rolle: Lohn- und Gehaltsabrechnungen sind sehr sensible Daten, der Umgang mit ihnen unterliegt besonderen Datenschutzbestimmungen. Nur bestimmte Personen dürfen die Daten bearbeiten. Heute nun wollte R. Nägel mit Köpfen machen. Vertreter des Outsourcing-Unternehmens kamen ins Haus, der Vertrag sollte bis zur Unterschriftsreife besprochen werden.

Der kaufmännische Leiter war sich seiner Sache sicher, bis sein Gegenüber ihm sagte: “Sie müssen wissen, dass Sie auch weiterhin Herr der Daten sind und deshalb dafür verantwortlich bleiben, auch wenn wir uns nun um die Verarbeitung kümmern.” Daran könne auch ein anderer Dienstleister nichts ändern, versicherte sein Verhandlungspartner. Das sei im Bundesdatenschutzgesetz (BDSG) geregelt, auch die weiteren Pflichten wie die Rechte des Auftraggebers. Für Rainer R. war das ein kleiner Schock.

Bußgelder für den Auftraggeber

“Läuft etwas schief bei der Auftragsdatenverarbeitung, dann treffen die Bußgeldvorschriften nicht den eigentlichen Verarbeiter, sondern den Auftraggeber, wenn der seine Pflichten vernachlässigt hat”, klärt Kai Kuhlmann auf, Bereichsleiter in der Rechtsabteilung vom Bundesverband Informationswirtschaft, Telekommunikation und Neue Medien (Bitkom). Im Paragraphen 11 des BDSG sind die verschiedenen Kontroll- und Aufsichtspflichten geregelt. “Danach muss sich der Auftraggeber vergewissern, dass der Auftragnehmer die Arbeiten datenschutzgerecht erfüllen kann und er muss auch während der Vertragslaufzeit immer wieder mal schauen, ob alles richtig läuft”, so Kuhlmann.

Unter die Auftragsdatenverarbeitung fällt beispielsweise die externe Datenhaltung, etwa beim teilweisen oder gesamten Outsourcing eines Rechenzentrums, der Zugriff auf personenbezogene Daten vor Ort beim Auftraggeber und elektronischer Archivierungsservice. Ein Beispiel neuerer Art ist die Prüfung und Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen über einen Remote-Zugriff, Fernwartung also. “Beide Seiten sind gut beraten, die Frage der Verantwortlichkeit für die Daten bei Vertragsverhandlungen zum Thema zu machen”, rät Kuhlmann. Ein Vertrag könne individuell gestaltet werden.

Zudem gebe das BDSG mit einer Anlage zum § 11 bestimmt Punkte vor, die in jedem Fall beachtet werden müssen. Dazu zählen etwa Zutritts- und Kontrollrechte des Auftraggebers, damit der in regelmäßigen Abständen beim Auftragnehmer prüfen kann, ob dieser die Daten im Sinne seiner Weisungen und auch im Sinne des Vertrages verarbeitet. Wörtlich steht im § 11: “Der Auftraggeber hat sich von der Einhaltung der beim Auftraggeber getroffenen technischen und organisatorischen Maßnahmen zu überzeugen”, zitiert der Bitkom-Jurist den Gesetzestext.

Der Auftraggeber kann eingreifen

“In seiner Eigenschaft als Eigentümer ist der Auftraggeber dafür zuständig, dass der Umgang mit den Daten sauber und eindeutig geregelt ist, auch wenn die Verarbeitung außer Haus erfolgt”, weiß Bernd Höhnel, Leiter des Rechenzentrums bei gedas, der IT-Tochter von Volkswagen. Darauf würden potentielle gedas-Kunden in Vertragsverhandlungen hinwiesen, berichtet er. Standardmäßig hat jeder Vertrag eine Anlage, in der steht, was gedas zur Erfüllung der Pflichten beiträgt und was der Auftraggeber machen muss, damit die Sicherheit der Datenbestände gewährleistet ist. In der Anlage ist zum Beispiel erklärt, wie der physische Schutz des Rechenzentrums gewährt ist, wie Berechtigungs- und Zugriffschutz auf Daten geregelt sind und was gedas im Desasterfall unternehme, zählt Höhnel auf. Jedem Kunden wird auch ein Revisionsrecht für seine Daten im Rechenzentrum eingeräumt.

“Im realen Leben nehmen die Kunden dieses Recht aber nur sporadisch wahr”, räumt der Mann von gedas ein. Gegen das Gesetz würden die Kunden damit nicht verstoßen, weil der Detaillierungsgrad für Prüfungen in den Vorschriften relativ offen gelassen sei. “Die Kunden können sich jedoch darauf verlassen, dass mittels regelmäßiger Zertifizierungen des Rechenzentrums eine unabhängige Kontrolle von Dritten erfolgt”, beruhigt Höhnel.

Quer Beet hätten sich Standards zwischen der Industrie und den Outsourcern eingependelt, die sich nur in Nuancen unterscheiden würden, meint er. “Zum einen, weil die Anbieter gesetzlich gezwungen sind, etwas zu tun. Zum anderen wäre es geschäftsgefährdend, auf diesem Gebiet nicht konsequent zu handeln”, begründet er. Etwa die Hälfte der Kundschaft würde ihre Pflichten genau kennen, die anderen nicht oder nur teilweise. Nur einmal in 15 Jahren hat Höhnel persönlich erlebt, dass auch Auftragsbehörden wie Landesdatenschützer aus ihrer Sicht geprüft hätten, ob alles seinen vorgeschriebenen Weg geht.

Der IT-Grundschutz nach BSI reicht aus

“Vom Landesdatenschutzbeauftragten habe ich noch nichts gesehen”, bestätigt Knut Krabbes, bei TDS Quality- und Facility-Security-Manager. Dafür geben sich in Heilbronn IT-Revisoren großer Wirtschaftsprüfungsgesellschaften die Klinke in die Hand, um zu prüfen ob der IT-Dienstleister auch wirklich alle Sicherheitsvorkehrungen einhält. Die Prüfer kommen im Auftrag des Kunden, der gleichfalls Auftraggeber von TDS ist. “Manche Banken schicken ihre internen Revisoren, wenn die das notwendige Know-how haben”, berichtet Krabbes aus der Praxis. Etwa 50 bis 60 Audits würden so jährlich bei TDS von Auftraggebern durchgeführt werden.

Weil sich ein Mittelständler so etwas nicht leisten kann, müsse der halt davon ausgehen, dass der IT-Grundschutz vom Bundesamt ausreichend Sicherheit biete, meint der TDS-Manager. “Im Grundschutz sind weit über das BDSG hinaus geforderte Richtlinien berücksichtigt, weiß er. Das Unternehmen wurde vor einem Jahr vom Bundesamt für Sicherheit in der Informationstechnologie nach dem IT-Grundschutzhandbuch zertifiziert. Krabbes ist selbst Auditor vom Bundesamt und darf andere Unternehmen hinsichtlich der Einhaltung von datenschutzrechtlichen Bestimmungen prüfen. Das eigene Unternehmen selbstverständlich nicht.

Auch bei der Gestaltung von Verträgen, die unter die Auftragsdatenverarbeitung fallen, haben Mittelständler oft nicht dieselben Möglichkeiten wie Konzerne, weil sie keine eigene Rechtsabteilung mit Spezialisten auf dem Gebiet haben. Kai Kuhlmann empfiehlt deshalb, auf den Mustervertrag zur Auftragsdatenverarbeitung vom Bitkom zurückzugreifen, der folgenden Zweck erfüllen soll: “Werden im Vertrag nur die Leistungen verhandelt, können mit der Anlage schon gut 90 Prozent der rechtlichen Erfordernisse bei der Auftragsdatenverarbeitung abgedeckt werden.” Der Mustervertrag ist kostenlos und kann auf der Homepage vom Bitkom heruntergeladen werden.