Rechtliche Aspekte beim Outsourcing, Teil 3
Offshore-Stolperfalle Datenschutz
Offshore-Stolperfalle Datenschutz Wer personenbezogene Daten außerhalb der EU verarbeiten lässt, läuft Gefahr, dass der Dienstleister trotz Zertifizierung nicht dem vorgeschriebenen Niveau des Bundesdatenschutzgesetzes genügt. Für dadurch entstehende Verstöße haftet aber nicht der Provider, sondern der Auftraggeber.
Kosteneinsparungen und die Verfügbarkeit von qualifizierten Arbeitnehmern geben mittlerweile auch für eine Vielzahl von in Deutschland ansässigen Unternehmen den Ausschlag für eine Vergabe von Teilen ihrer Datenverarbeitung an Unternehmen in Billiglohnländern. Aufgrund seines hochqualifizierten Fachpersonals und des arbeitgeberfreundlichen Lohnniveaus entwickelte sich Indien zu einem der beliebtesten Offshore Provider der Welt. Der Datentransfer von personenbezogenen Daten in außereuropäische Länder sowie deren dortige Speicherung und Verarbeitung birgt jedoch die Gefahr der Verletzung von datenschutzrechtlichen Bestimmungen. Denn die hohen Anforderungen, die das Bundesdatenschutzgesetz (BDSG) für eine Übermittlung und Verarbeitung von personenbezogenen Daten ins Ausland vorsieht, sind nur gewahrt, wenn in dem betreffenden Land ein angemessenes Datenschutzniveau erreicht wird. Letzteres ist jedoch in vielen Billiglohnländern nicht der Fall. Eine unzulässige Datenübermittlung kann allerdings schmerzliche Folgen haben und sollte daher unbedingt vermieden werden. Für die Zulässigkeit der Datenübermittlung ist gemäß den Vorschriften des Bundesdatenschutzgesetzes die übermittelnde Stelle verantwortlich, somit das in Deutschland ansässige, seine Datenverarbeitung auslagernde Unternehmen. Als Folgen eines unzulässigen Datentransfers drohen neben der negativen Darstellung in der Öffentlichkeit Verpflichtungen zu Schadensersatzzahlungen. Zudem kann die unzulässige Datenweitergabe als Ordnungswidrigkeit gewertet werden, die mit einer Geldbuße von bis zu 250000 Euro zu ahnden ist. Bei vorsätzlichem Handeln kommt sogar eine Einordnung als strafrechtsrelevant in Betracht.
Keine Probleme innerhalb der EU
Nach den Vorgaben des BDSG hat eine Übermittlung in ein Drittland zu unterbleiben, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Dies ist der Fall, wenn bei der Stelle, an die die Daten übermittelt werden, ein angemessenes Datenschutzniveau nicht gewährleistet ist. Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden. Da die Mitgliedsstaaten der Europäischen Union nach Umsetzung der EU-Datenschutzrichtlinie ein ähnlich hohes Schutzniveau wie Deutschland erreichen, unterliegt ein Datentransfer in andere EU-Staaten keinen strengeren Voraussetzungen als ein innerdeutscher Transfer. Dies gilt unter anderem auch für die Schweiz, Ungarn, Kanada (mit Einschränkungen), Argentinien, Guernsey und die Insel Man, für die die Europäische Kommission verbindlich festgestellt hat, dass diese Staaten ein angemessenes Schutzniveau gewährleisten. Ebenso zulässig ist eine Datenübertragung an US-Unternehmen, die sich freiwillig in der sogenannten »Safe-Harbor-Liste« registrieren ließen. Datenschutzrechtliche Probleme ergeben sich jedoch bei Datenübermittlungen in andere Drittländer. In dem aufstrebenden Industriestaat Indien existieren zum Beispiel keine expliziten Datenschutzgesetze. Auch in den dort geltenden allgemeinen Gesetzen, wie zum Beispiel den Information Technology Act 2000, finden sich datenschutzrechtliche Bestimmungen nur vereinzelt. Trotz beabsichtigter Gesetzesnovellen in Indien, durch die in Kürze datenschutzrechtliche Vorschriften geschaffen werden sollen, wird momentan ein angemessenes Datenschutzniveau kraft Gesetzes nicht erreicht. In diesem Fall hängt die Zulässigkeit eines Datentransfers davon ab, ob der IT-Provider in Indien oder einem anderen Billiglohnland ein angemessenes Datenniveau garantieren kann oder ob eine der im BDSG vorgesehenen Ausnahmetatbestände einschlägig ist. Andernfalls muss das auslagernde Unternehmen für vertragliche Absicherungen sorgen.
Datenschutz darf nicht unterschritten werden
Der IT-Provider könnte ein angemessenes Datenschutzniveau für sein Unternehmen gewährleisten, indem er dem BDSG entsprechende verbindliche Unternehmensregelungen (»Binding Corporate Rules«) für sein Unternehmen einführt. Die EU-Kommission arbeitet bereits seit längerer Zeit an dem Modell einer Selbstbindung des Unternehmens durch einen Verhaltenskatalog (»Code of Conduct«). In jedem Fall wird ein solcher Verhaltenskatalog des IT-Providers bindend sein müssen, die Datensicherheit gewährleisten und eine verlässliche Kontrolle der Einhaltung der Regelung vorzusehen haben. Der im BDSG vorgesehene Datenschutz darf nicht unterschritten werden. So müssen verbindliche Verwendungsbedingungen einschließlich einer klaren Zweckbindung, Auskunfts- und Informationsrechte sowie Widerspruchs- und Schadensersatzrechte im Code vorgesehen sein. Obwohl sich zum Beispiel ein Großteil indischer IT-Provider intern derartigen speziellen Datenschutzregelungen unterwerfen und zum Teil entsprechende Zertifizierungen vorweisen, wird in der Regel das Schutzniveau des BDSG dennoch nicht erreicht. Somit kann solch ein Code of Conduct meist den Datentransfer nicht legitimieren.
Genehmigung der Aufsichtsbehörde notwendig
Ausnahmsweise ist die Datenübertragung auch dann zulässig, wenn jeder einzelne Betroffene, dessen personenbezogenen Daten von dem IT-Provider im Rechenzentrum in Indien verarbeitet werden sollen, schriftlich seine Einwilligung gegeben hat. Die Einholung einer Einwilligung aller betroffenen Personen, beispielsweise aller vom ERP-System des Auftraggebers gespeicherten Kunden, ist jedoch in der Praxis kaum bis gar nicht durchführbar. Nach den Regelungen des BDSG können das auslagernde Unternehmen und der IT-Provider durch vertragliche Gestaltung einen angemessenen Datenschutz gewährleisten. Erforderlich ist in diesem Fall grundsätzlich eine Genehmigung durch die zuständige Aufsichtsbehörde.
EU-Standardklauseln nicht anpassbar
Neben der individuellen Vertragsgestaltung kommt die Übernahme der sogenannten EU Standardvertragsklauseln für die Auftragsdatenverarbeitung mit Unternehmen in Drittländern in Betracht (abrufbar über http://www.europa.eu.int). Diese von der Europäischen Union herausgegebenen Vertragsklauseln gewährleisten einen Mindeststandard an Datenschutz. So enthalten die Klauseln unter anderem Spezifizierungen der Pflichten von Datenexporteur und Datenimporteur, eine Drittbegünstigungsklausel für betroffene Personen sowie Haftungsregelungen. Die Vorteile der Verwendung der Standardvertragsklauseln liegen darin, dass ausnahmsweise keine Genehmigung der Aufsichtsbehörde einzuholen ist und kosten- und zeitintensive Verhandlungen der Vertragspartner entfallen. Die EU-Standardklauseln dürfen allerdings inhaltlich nicht verändert werden. Bei Anpassung der EU-Standardvertragsklauseln an die individuellen Bedürfnisse der beteiligten Unternehmen sowie bei Individualvereinbarungen muss eine Genehmigung der Aufsichtsbehörde eingeholt werden. Neben der zeitlichen Verzögerung besteht in der Regel die Gefahr deren Verweigerung, sofern das durch die EU vorgegebene Mindestmaß an Datenschutz nicht mehr gewährleistet ist.
Fazit
Sofern Unsicherheiten über ein ausreichendes Datenschutzniveau beim konkreten IT-Provider in einem Drittland bestehen, sollte das auslagernde Unternehmen als verantwortliche Stelle aus Gründen unternehmerischer Vorsicht dafür sorgen, dass die Minimalanforderungen der EU-Datenschutzrichtlinie erfüllt werden. Die Vereinbarung der EU-Standardvertragsklauseln bietet hierfür in der Regel eine sachgerechte Möglichkeit.
