5. Datenschutz

Da jedes Unternehmen mit seiner IT personenbezogene Daten verarbeitet, führt jede Form des IT-Outsourcings dazu, dass der IT-Partner Zugang zu personenbezogenen Daten des Unternehmens erhält. Deshalb ist beim IT-Outsourcing stets eine datenschutzrechtliche Analyse erforderlich. Ausgangspunkt dafür ist die Frage, ob der IT-Dienstleister die personenbezogenen Daten nur als Auftragnehmer im Rahmen einer Auftragsdatenverarbeitung nutzt oder ob eine sogenannte Funktionsübertragung vorliegt. In der ganz überwiegenden Zahl der IT-Outsourcing-Projekte wird es sich um eine Auftragsdatenverarbeitung handeln, weil es dem IT-Dienstleister auf den Inhalt der Daten nicht ankommt und er sie lediglich wie ein "verlängerter Arm" des Auftraggebers nach Weisung verarbeitet.

Bei der Auftragsdatenverarbeitung sind die entsprechenden gesetzlichen Pflichten des Bundesdatenschutzgesetzes zu beachten (§ 11 BDSG). Die wichtigste Anforderung besteht darin, einen schriftlichen Vertrag über eine Auftragsdatenverarbeitung zu schließen. Für diesen Vertrag gibt der Gesetzgeber konkrete Inhalte vor, die in einem Zehn-Punkte-Katalog in § 11 Abs. 2 BDSG schlagwortartig geregelt sind. Zu diesen Inhalten zählen der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung und Nutzung durch den Auftragnehmer sowie Angaben zu der Art der Daten und dem Kreis der Betroffenen. Kernpunkte der Regelung sind außerdem die von dem Auftragnehmer zu treffenden technischen und organisatorischen Maßnahmen zur Datensicherheit (§ 9 BDSG). Damit überhaupt von einer Auftragsdatenverarbeitung die Rede sein kann, muss das Weisungsrecht des Auftraggebers gegenüber dem IT-Dienstleister geregelt sein. Wichtig ist zudem, Kontrollbefugnisse des Auftraggebers gegenüber dem IT-Dienstleister zu regeln.

Eine besondere Herausforderung − zumal ebenfalls gesetzlich vorgeschrieben − ist es, im Auftragsdatenverarbeitungsvertrag eine etwaige Berechtigung des IT-Dienstleisters zur Begründung von Unterauftragsverhältnissen (Subauftragnehmern) zu regeln. Dem IT-Dienstleister darf die Einschaltung von Subauftragnehmern nur für den Fall erlaubt werden, dass er seinerseits mit dem Subauftragnehmer einen Auftragsdatenverarbeitungsvertrag schließt, der inhaltlich dem Vertrag mit seinem Auftraggeber entspricht. Dies kann in der Praxis zu erheblichen Komplikationen führen, da häufig Subauftragsverhältnisse von IT-Dienstleistern bereits vertraglich fixiert sind, bevor die IT-Dienstleister ihre Dienste anderen anbieten (vgl. dazu Bongers/Krupna, Der Subauftragnehmer im Rahmen der Auftragsdatenverarbeitung – Weisungs- und Kontrollrechte in einer Auftragskette, RDV Recht der Datenverarbeitung 2014, S. 19-25). Eine sorgfältige Gestaltung der Verträge ist in diesem Punkt – wie auch in den übrigen Punkten – zu empfehlen, da anderenfalls ein Bußgeld bis zu € 50.000 droht oder IT-Projekte undurchführbar werden.

Besondere Aufmerksamkeit ist erforderlich, wenn der IT-Dienstleister seinen Sitz im Ausland hat. Wenn das Sitzland des IT-Dienstleisters nicht in der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum liegt, bedarf es einer vertraglichen Gestaltung, die in der Lage ist, die Übermittlung von Daten in diesen Staat zu legitimieren.

Ein sorgfältig gestalteter Vertrag über Auftragsdatenverarbeitung unterstützt auch die Abwicklung eines beendeten IT-Outsourcing-Vertragsverhältnisses. Schon der Gesetzestext sieht für den Vertrag ausdrücklich Regelungen über die Rückgabe überlassener Datenträger und die Löschung der beim Auftragnehmer gespeicherten Daten vor.

Praxistipp

Die Auftragsdatenverarbeitung sollte in einem besonderten Vertrag mit dem IT-Diensleister geregelt werden. Um ein Bußgeld zu vermeiden, müssen hierfür die gesetzlichen Mindestanforderungen erfüllt werden. Insbesondere muss der Auftraggeber prüfen, ob nicht - gerade bei Sachverhalten mit Auslandsbezug - eine Funktonsübertragung vorliegt und im Zuge dessen rechtswidrige Datenübermittlungen erfolgen würden. Diese können mit Bußgeldern bis zu € 300.000 geahndet werden.

Kontakt für weitere Infos

Olaf Gelhausen
Dr. Stephan Bauer, LL.M.
Dr. Frank Bongers
Gerrit Dahle
Dr. Karsten Krupna