Академический Документы
Профессиональный Документы
Культура Документы
(Outsourcing)
Stand: 23.09.2004
gemeinsam erstellt durch das Ministerium des Innern des Landes Sachsen-Anhalt und den
Landesbeauftragten für den Datenschutz Sachsen-Anhalt in Anlehnung an
- eine Orientierungshilfe und Checkliste zur Auftragsdatenverarbeitung des LfD
Niedersachsen und
- ein Muster des Regierungspräsidiums Darmstadt.
Vorbemerkung
Der Begriff „Outsourcing“ stammt aus dem amerikanischen Wirtschaftsleben und setzt sich
aus den Worten „Outside Resource Using = Mittel von außen gebrauchen“ zusammen. Die
Erscheinungsformen des Outsourcing sind vielfältig. Es kann darin bestehen, dass einzelne
Tätigkeiten, z.B. der Wach- oder Reinigungsdienst, die bisher vom Unternehmen oder von
einer Verwaltungsbehörde selbst erledigt wurden, auf Externe übertragen werden. Möglich
ist aber auch, dass die Produktion ganz oder teilweise ausgelagert wird, z.B. in der
Automobilindustrie bei der Herstellung von Cabrios für verschiedene Hersteller durch ein
hierauf spezialisiertes Unternehmen.
Der Hauptgrund für Outsourcing ist Kostensenkung. Der Outsourcingnehmer ist regelmäßig
aufgrund von Vorteilen, die sich aus seiner Spezialisierung, aus seinem Standort (z.B.
Produktion in Billiglohnländern), mangelnder Tarifbindung usw. ergeben können, in der Lage
eine Leistung kostengünstiger zu erbringen oder ein Produkt billiger herzustellen, als der
Outsourcinggeber selbst.
Mit der Herstellung des Binnenmarktes ist Outsourcing innerhalb des Europäischen
Wirtschaftsraums längst zu einer Selbstverständlichkeit geworden. Angesichts der
zunehmenden Globalisierung der Wirtschaft macht Outsourcing aber nicht an den Grenzen
des Europäischen Wirtschaftsraums halt. Bedienten sich in der Vergangenheit noch
vorrangig ausländische und weltweit operierende deutsche Konzerne des weltweiten
Outsourcing („Offshore“), wird dieses Instrument jetzt auch von kleineren Firmen vermehrt
genutzt.
Nachfolgend wird auf die Aspekte des Outsourcing eingegangen, die sich auf den Umgang
mit personenbezogenen Daten beziehen.
Bei der Funktionsübertragung wird dagegen auch die der Erhebung, Verarbeitung oder
Nutzung personenbezogner Daten zugrunde liegende Aufgabe ganz oder teilweise
abgegeben. Die in Anspruch genommene Serviceeinrichtung erbringt - über die technische
Durchführung des Umgangs mit personenbezogenen Daten hinaus - materielle Leistungen
mit Hilfe der überlassenen Daten. Sie handelt hierbei eigenverantwortlich, auch im Sinne des
Datenschutzrechts.
Einen Sonderfall bildet die Prüfung oder Wartung automatisierter Verfahren oder von
Datenverarbeitungsanlagen. Solche Tätigkeiten sind z.B.
Sie können direkt vor Ort oder per Fernwartung durchgeführt werden. Die Tätigkeiten sind
nicht auf den Umgang mit personenbezogenen Daten gerichtet, allerdings ist die
Kenntnisnahme von personenbezogenen Daten nicht immer ausgeschlossen. Daher
unterwirft der Bundesgesetzgeber im Bundesdatenschutzgesetz (BDSG) gänzlich und der
Landesgesetzgeber im Gesetz zum Schutz personenbezogener Daten der Bürger (DSG-
LSA) weitgehend die Erbringung von Wartungs- und Pflegearbeiten den Regelungen zur
Auftragsdatenverarbeitung, soweit bei diesen Tätigkeiten ein Zugriff auf personenbezogene
Daten unvermeidlich ist (vgl.: § 11 Abs. 5 BDSG, § 8 Abs. 7 DSG-LSA).
- im Inland,
- in einem anderen Mitgliedstaat der Europäischen Union oder
- in einem anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum
erfolgt, privilegiert. Ein solcher Auftragnehmer gilt nach § 3 Abs. 8 BDSG / § 2 Abs. 9 DSG-
LSA nicht als Dritter. Daher finden im Rahmen des Auftrags auf den Datenaustausch
zwischen Auftraggeber und Auftragnehmer nicht die einschränkenden Regelungen der
Datenschutzgesetze für Übermittlungen Anwendung. Der Auftragnehmer ist aber Empfänger
im Sinne des § 3 Abs. 8 Satz 1 BDSG / § 2 Abs. 10 DSG-LSA.
Die Erhebung, Verarbeitung oder Nutzung personenbezogner Daten im Auftrag ist für
öffentliche Stellen des Bundes und für nicht-öffentliche Stellen bereichsübergreifend in § 11
BDSG und für öffentliche Stellen des Landes in § 8 DSG-LSA geregelt.
Das Privileg besteht nicht, wenn der Auftragnehmer eine nicht privilegierte ausländische
Stellen ist, also in einem Drittland ansässig ist. In diesem Fall (Offshore-
Auftragsdatenverarbeitung) müssen für die Weitergabe von Daten durch den Auftraggeber
an den Auftragnehmer die Voraussetzungen für eine Übermittlung ins Ausland erfüllt sein.
Entsprechend der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom
24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr (Abl. EG Nr. L 281/31 vom
23.11.1995) – nachfolgend EG-Datenschutzrichtlinie genannt - bestimmt § 4 b Abs. 2 Satz 2
BDSG / § 13 Abs. 2 Satz 2 DSG-LSA, dass die Übermittlung an eine Stelle in einem Drittland
unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der
Übermittlung hat, insbesondere wenn bei dem Dritten ein angemessenes Datenschutzniveau
nicht gewährleistet ist. Danach kommt eine Auftragsdatenverarbeitung in einem Drittland in
Betracht wenn:
c) wenn der Auftragnehmer in den USA ansässig ist und sich verpflichtet hat, sich den
„Grundsätzen des sicheren Hafens zum Datenschutz (Safe-Harbor)“ und den
„Häufig gestellten Fragen (Frequently Asked Questions (FAQ)“ unterworfen hat,
d) Feststellung eines angemessenen Datenschutzniveaus nach § 4b Abs. 2 Satz 2
i.V.m. Abs. 3 BDSG beim Auftragnehmer durch den Auftraggeber,
e) Genehmigung der zuständigen Aufsichtsbehörde nach § 4c Abs. 2 Satz 1 BDSG.*
Es erscheint unwahrscheinlich, dass bei einer öffentlichen Stelle bei Erledigung öffentlich-
rechtlicher Aufgaben die rechtlichen Voraussetzungen vorliegen, um personenbezogene
Daten zum Zwecke der Auftragsdatenverarbeitung an eine nicht privilegierte ausländische
Stelle zu übermitteln.
* dem Vorgehen, nach Buchst. b, d) und e) ist die Verwendung von Standardvertragsklauseln vorzuziehen; nicht
alle Aufsichtsbehörden verzichten bei der Festsstellung des angemessenen Datenschutzniveaus, durch den
Auftraggeber auf die Genehmigung nach § 4 c Abs. 2 Satz 1 BDSG. Das Genehmigungsverfahren ist in jedem
Fall zeitaufwändig und mit Kosten verbunden.
• Auftragsdatenverarbeitung von Steuerdaten
Aus § 30 Abgabenordnung (Steuergeheimnis) wird von mehreren
Datenschutzkontrollinstitutionen im Hinblick auf Art. 108 GG sowie § 2 Abs. 2 und § 17
Abs. 3 des Finanzverwaltungsgesetzes auf die Unzulässigkeit der
Auftragsdatenverarbeitung durch nicht-öffentliche Stellen geschlossen; siehe auch Walz
in Simitis u.a., BDSG, § 11 Randnr. 37.
Dagegen ist in Sachsen-Anhalt bezüglich der Beteiligung eines privaten
Dienstleistungsunternehmens bei der Ausstellung und Versendung von
Lohnsteuerkarten die Befugnis für die hierzu erforderliche Offenbarung von dem
Steuergeheimnis unterliegenden Verhältnissen auf § 30 Abs. 4 Nr. 1 AO gestützt
worden; vgl. 3. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz, S. 36.
Bei der Auftragsdatenverarbeitung für öffentliche Stellen durch nicht-öffentliche Stellen ist,
soweit Aufgaben der öffentlichen Verwaltung ausgeführt werden, zu fordern, dass die dabei
beschäftigten Personen des Auftragnehmers neben der Verpflichtung auf das
Datengeheimnis auch nach dem Verpflichtungsgesetz verpflichtet sind. Verpflichtungen auf
das Datengeheimnis nimmt der Auftragnehmer, die nach dem Verpflichtungsgesetz die
durch Verordnung bestimmte zuständige öffentliche Stelle, regelmäßig ist dies der
Auftraggeber, vor.
Die Auftraggeber in Wirtschaft und Verwaltung sind in gleicher Weise verpflichtet, die zu
übertragende Datenverarbeitung, die vom Auftragnehmer einzuhaltenden technischen und
organisatorischen Datensicherheitsmaßnahmen sowie etwaige Unterauftragsverhältnisse
schriftlich festzulegen.
Sollte der Auftragnehmer ausnahmsweise eine nicht privilegierte ausländische Stelle sein,
gelten die Regelungen zur Auftragsdatenverarbeitung nicht. Gleichwohl sollte in einem
solchen Fall den Anforderungen des § 11 Abs. 2 Sätze 1 und 3 sowie Abs. 3 Satz 1 BDSG
durch entsprechende Vertragsgestaltung genügt werden. Nur dann dürfte – ein
angemessenes Datenschutzniveau beim Auftragsdatenverarbeiter vorausgesetzt – die
übrigen Übermittlungsvoraussetzungen, die sich aus § 4b Abs. 1 in Verbindung mit §§ 28
bzw. 29 BDSG ergeben, erfüllt sein.
Als Anlage ist eine Checkliste beigefügt, die beim Abschluss von Verträgen zur
Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
abgearbeitet werden sollte.
7
Anlage
Checkliste
- Datenschutz bei Auftragsdatenverarbeitung –
Die Checkliste dient der Wahrnehmung der Sorgfaltspflichten des Auftraggebers (AG) aus
§ 11 Abs. 2 BDSG / § 8 Abs. 2 DSG-LSA bei der
• Auswahl eines geeigneten Auftragnehmers,
• Erarbeitung datenschutzgerechter Lösungen,
• Ausgestaltung der vertraglichen Vereinbarungen.
Je nach Situation sind die Fragen in der Checkliste von mehr oder weniger großer
Bedeutung, oder auch gar nicht anwendbar. In Zweifelsfällen und bei Rückfragen wenden
Sie sich bitte an ihren Beauftragten für den Datenschutz.
1. Allgemeine Anforderungen
Welche Stellen
verarbeiten im
Auftrag
personenbezogene
Daten?
Gibt es
Unterauftragsverhältn
isse?
Auftragsdatenverarbe
itung nach
§ 80 SBG X
Ggf. Zusatzfrage:
2. Auftragsorganisation
Ggf. Zusatzfrage:
3. Vertragsgestaltung
Einwilligung zu Verfahrensänderungen
Verknüpfung der
Datensicherheitsmaßnahmen des
Auftraggebers mit denen des
Auftragnehmers