ICSFinance & Accounting, Human Resources0 Kommentare

Abbildung: Schluesselschloss in digitaler Welt

Outsourcing von Prozessen boomt weiterhin

Deutsche Unternehmen konzentrieren sich wieder auf ihr Kerngeschäft – und gliedern organisatorische Aufgaben immer öfter aus. Heute dominiert vor allem das Business Process Outsourcing (BPO). Hier werden nicht mehr einzelne Abteilungen, sondern bestimmte Ablaufprozesse eines Unternehmens in die Hände eines Dienstleisters gelegt. Typische Beispiele sind die Auslagerung der Finanzbuchhaltung oder die Übergabe der Personalverwaltung einschließlich der Lohn- und Gehaltsabrechnung. Damit verbunden ist auch stets die Auftragsdatenverarbeitung. Unter diesem Begriff werden die Erhebung, die Verarbeitung und die Nutzung personenbezogener Daten durch ein dienstleistendes Unternehmen zusammengefasst. Vor allem unter dem Gesichtspunkt des Datenschutzes ist die Auftragsdatenbearbeitung ein sensibler Prozess im BPO. Verantwortlich für die persönlichen Daten ihrer Mitarbeiter (und/oder ihrer Kunden) bleiben die beauftragenden Unternehmen. In den Verträgen mit ihrem Dienstleister müssen sie also sicherstellen, dass der Datenschutz gewährleistet wird.

Das Bundesdatenschutzgesetz regelt die Pflichten bei der Auftragsdatenverarbeitung

BPO-Dienstleister entlasten die Unternehmen und tragen so zur Steigerung der Effizienz bei. Mit ihrer Expertise und ihren Ressourcen optimieren sie die Prozesse und minimieren Fehler. Voraussetzung dafür sind klare vertragliche Regelungen zwischen Auftraggeber und Dienstleister. Bei einer Auftragsdatenverarbeitung regelt unter anderem das Bundesdatenschutzgesetz (BDSG) in seinem Paragraphen 11 „Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag“ den Inhalt der Vereinbarungen. Diese sind schriftlich festzuhalten. Dazu zählen nicht nur die Art und die Dauer des Auftrages, sondern auch

  •  die genaue Definition des Umfangs, der Art und des Zwecks der Datenerhebung, der Verarbeitung und Nutzung
  • der Kreis der Betroffenen
  • die einzuhaltenden technischen und organisatorischen Maßnahmen
  • die Kontrollrechte des Auftraggebers und seine Weisungsbefugnisse

Der Auftraggeber hat sich vor Beginn der Auftragsdatenverarbeitung davon zu überzeugen, dass er einen geeigneten Dienstleister (benannt als Auftragsdatenverarbeiter im Sinne des BDSG) ausgewählt hat. Auch während der Leistungserbringung muss er die Einhaltung des Datenschutzes kontrollieren. Können Auftragnehmer eine Auditierung vorweisen, zum Beispiel eine Zertifizierung nach ISO 9001 oder ISO 27001, so dürfen diese anerkannt werden.

Erforderliche technische und organisatorische Maßnahmen des Dienstleisters

Bei einer Überprüfung bzw. einer Zertifizierung müssen Auftragnehmer (Auftragsdatenverarbeiter) genau darlegen, welche Maßnahmen sie im Sinne des Datenschutzes ergriffen haben. Sie müssen gewährleisten, dass

  • Unbefugte keinen Zutritt zu bestimmten Räumen erhalten
  • Rechner vor unberechtigtem Zugang von außen (Hacker) oder von innen (unberechtigte Personen) geschützt sind
  • die Zugriffe auf Daten kontrolliert und dokumentiert werden
  • Informationen zur Eingabe und Weitergabe von Daten aufgezeichnet werden
  • Datensätze nach Speicherung nicht unbefugt gelöscht, verändert oder kopiert werden können
  • Datenträger vor Beschädigung und Verlust geschützt werden
  • nach Ende des Auftrages Daten zurückgegeben oder nachweislich gelöscht werden
  • die Weisungen des Auftraggebers eingehalten werden
  • Daten, die für unterschiedliche Zwecke erfasst wurde, getrennt werden.

2018 gilt die Datenschutz-Grundverordnung der Europäischen Union

Business Process Outsourcing bleibt vor Ländergrenzen nicht stehen. Bis zum Mai 2018 haben Dienstleister und auftraggebende Unternehmen noch Zeit, sich auf die Änderungen der Datenschutz-Grundverordnung (DSGVO) einzustellen. Mit diesem Gesetz vereinheitlicht die Europäische Union den Datenschutz in Unternehmen, Behörden und Organisationen. Da es einen Bestandschutz für laufende Verträge nicht gibt, müssen bis zu diesem Stichtag auch alle geltenden Vertragsverhältnisse angepasst werden! Auf Unternehmen und Auftragnehmer kommen einige Veränderungen zu. Die Verordnung führt mit dem „Verantwortlichen für die Datenverarbeitung“ einen neuen Begriff für den Auftraggeber ein. Dieser erteilt dem Auftragsverarbeitendem (dem früheren Auftragsdatenverarbeiter) den Auftrag und seine Weisungen. Er bleibt auch künftig erster Ansprechpartner für alle Betroffenen. In einem schriftlich festgehaltenen „Joint Controll“ müssen zwei oder mehrere für die Datenverarbeitung Verantwortliche den Zweck und die Mittel für die personenbezogene Verarbeitung von Daten festlegen. Entsteht ein moralischer oder finanzieller Schaden, so haben betroffene Personen ihnen gegenüber Anspruch auf Schadenersatz. Verstößt der Auftragsverarbeiter allerdings gegen die Weisungen seines Auftraggebers, so geht die Verantwortlichkeit auf ihn über – und damit auch die Pflicht auf Schadenersatz. Werden zum Beispiel die Daten von Mitarbeitern in der Lohn- und Gehaltsabrechnung oder in der Finanzbuchhaltung nicht vor Missbrauch geschützt und werden von Unbefugten genutzt, so können Betroffene klagen.

Neue Pflichten für Auftragsverarbeiter

Inhaltlich orientiert sich die europäische Datenschutzverordnung an den Regelungen des Bundesdatenschutzgesetzes. Für Dienstleister, die Daten im Auftrag verarbeiten ergeben sich dennoch neue Pflichten. Künftig müssen sie ein genaues Verzeichnis über die Verarbeitungstätigkeiten für den Verantwortlichen der Verarbeitung führen. Die rechtskonforme Ausgestaltung der Verträge sowie die datenschutzrechtliche Ausführung der Arbeiten werden besonders wichtig, denn die Geldstrafen für Verstöße wurden empfindlich erhöht. Es drohen Geldbußen bis zu einer Summe von 10 Millionen Euro bzw. bis zu 2 Prozent vom weltweit erzielten jährlichen Umsatz.

Fazit für das Business Process Outsourcing

Plant Ihr Unternehmen, Geschäftsprozesse im Rahmen eines BPO an externe Dienstleister auszugliedern, so müssen die vertraglichen Regelungen zwingend nach der neuen DSGVO gestaltet werden. Der Auftraggeber bleibt verantwortlich für den Umgang mit personenbezogenen Daten und muss seinen Dienstleister prüfen und kontrollieren. Verstößt dieser gegen Ihre Weisungen, so ist er den Betroffenen gegenüber jedoch schadenersatzpflichtig. Auch die neue europäische Verordnung zum Datenschutz enthält umfangreiche Regularien, die ein professioneller Dienstleister jedoch meistern sollte. Musterverträge und Checklisten helfen bei der Umsetzung der Verordnung.

Als langjähriger Spezialist im Business Process Outsourcing ist die ICS bereits für die neue DSGVO gerüstet.

Welche Risiken, welche Chancen sehen Sie in der neuen Datenschutz-Grundverordnung der Europäischen Union? Wir freuen uns auf Ihren Kommentar.

Bildquelle: Fotolia.com, Fotograf: Weissblick

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert