In der modernen Wirtschaft kann ein Unternehmen nicht alle notwendigen Tätigkeiten selbst erledigen. Das Auslagern von Tätigkeitsfeldern (Outsourcing) ist zur Normalität geworden.
Dieses Outsourcing hat Vorteile: Das Unternehmen muss keine eigenen Maschinen (bzw. Software) kaufen, und muss sich keine hochspezialisierten Mitarbeiter leisten. Das Outsourcing ist eine spezielle Form des Fremdbezugs einer bisher intern erbrachten Leistung, wobei Verträge die Dauer und den Gegenstand der Leistung fixieren. Dementsprechend ziehen viele verschiedene Firmen an einem Strang, um die Geschäftsziele zu erreichen. Wenn es um das Outsourcen reiner Produktionsprozesse geht, so ist dies natürlich nicht datenschutzrelevant. Sobald aber personenbezogene Daten (pDaten) wie Namen, Kontaktdaten, IP-Adressen usw. ins Spiel kommen, so greift oftmals der Artikel 28.
Beispiele für Auftragsverarbeitungen
Das Spektrum reicht von „A“ (Aktenvernichtung) bis „Z“ (Zeiterfassung mittels Web-Software). Weitere Beispiele sind der Lettershop, das Webhosting und die externe Lohn- und Gehaltsabrechnung. Sogar die Computer-Fernwartung ist relevant, wenn nicht ausgeschlossen werden kann, dass der Auftragnehmer auf pDaten zugreifen könnte. Beispiele wann es sich um eine Auftragsverarbeitung handelt, finden sie HIER und HIER.
Alle diese Auftragsverarbeiter arbeiten im Auftrag und sind somit als verlängerter Arm des Unternehmens anzusehen. Dementsprechend haben sie keine eigenen Rechte an den Daten, sondern müssen vielmehr die präzisen Weisungen des Auftraggebers einhalten.
Welche Möglichkeiten gibt es?
Wenn das Unternehmen outsourcen will, so gilt es folgendes zu beachten:
- Werden Daten herausgegeben die personenbezogen oder personen-beziehbar sind? Könnte man möglicherweise anonymisieren oder pseudonymisieren, damit der Datenschutz nicht greift? Generell sollten die gelieferten Daten auf das absolut Notwendige begrenzt werden.
- Der Dienstleister muss auch nach Datenschutz-Aspekten ausgewählt werden: Hat er einen Datenschutzbeauftragten? Kann er angemessene technisch-organisatorische Maßnahmen nachweisen, um die Daten in seinem Haus zu schützen?
- Der betriebliche Datenschutzbeauftragte muss frühestmöglich eingebunden werden. Er kann die Rechtmäßigkeit des Vorhabens prüfen und die notwendige Datenschutzvereinbarung unterstützen. Erst nach Unterzeichnung dürfen die Daten fließen.
Fazit
Unterschätzen Sie diese Aspekte nicht: Viele Dienstleister kennen die gesetzlichen Regelungen kaum… oder sind nicht darauf vorbereitet (oder unwillig), die Einhaltung nachzuweisen. Es kann langfristige und zähe Verhandlungen bedeuten, bis der Auftrag endlich erteilt werden darf. Ihr Datenschutzbeauftragter wird sie nach Kräften unterstützen!
-------------------------------------------
„Copyright: Bitte beachten Sie das Urheberrecht dieses Blog-Beitrags. Sie sind nicht befugt den Wortlaut für eigene Publikationen zu nutzen. Das Urheberrecht der Original- Inhalte liegt bei DSB-MIT-SYSTEM®, im Rahmen des Datenschutz-Praxisleitfadens PrivazyPlan®.“
